១. ព័ត៌មានទូទៅ
ក្រុមហ៊ុនម៉ៃក្រូសូហ្វ បានធ្វើការចេញផ្សាយនូវបញ្ជីចំណុចខ្សោយ ចំនួន១១០០ ដែលមានផលប៉ះពាល់ទៅដល់ផលិតផលរបស់ខ្លួន។ ក្នុងចំណោមនោះមាន ៤០ចំណុច ត្រូវបានចាត់ទុកថាមានលក្ខណៈធ្ងន់ធ្ងរបំផុត ការវាយលុកដោយជោគជ័យទៅលើចំណុចខ្សោយធ្ងន់ធ្ងរទាំង ៤០នេះ អាចអនុញ្ញាតឱ្យមានការដំណើរការកូដពីចម្ងាយ ដោយចោរបច្ចេកវិទ្យា ឬហេកគ័រ។ ចំណុចខ្សោយទាំងនោះ មានដូចខាងក្រោម៖
- CVE-2025-24983: ចំណុចខ្សោយធ្ងន់ធ្ងរបំផុតនេះមាននៅក្នុង Microsoft Windows Win32 ដោយសារតែកម្មវិធីមិនបានធ្វើការត្រួតពិនិត្យកម្រិតសុវត្ថិភាពឱ្យបានត្រឹមត្រូវដែលធ្វើឱ្យមានកំហុសឆ្គង use-after-free error ដែលអាចអនុញ្ញាតឱ្យចោរព័ត៌មានវិទ្យា ឬហេកគ័រ អាចធ្វើការផ្ញើសំណើពិសេសមួយចំនួន និងធ្វើប្រតិបត្តិកូដបំពាននៅលើប្រព័ន្ធដែលជាគោលដៅបានដោយជោគជ័យ
- CVE-2025-29824: ចំណុចខ្សោយធ្ងន់ធ្ងរនេះមាននៅ Microsoft Windows Common Log File ដោយសារតែកម្មវិធីមិនបានធ្វើការត្រួតពិនិត្យកម្រិតសុវត្ថិភាពឱ្យបានត្រឹមត្រូវដែលធ្វើឱ្យមានកំហុសឆ្គង use-after-free error ដែលអាចអនុញ្ញាតឱ្យចោរព័ត៌មានវិទ្យា ឬហេកគ័រ អាចធ្វើការផ្ញើសំណើពិសេសមួយចំនួន និងធ្វើប្រតិបត្តិកូដបំពាននៅលើប្រព័ន្ធដែលជាគោលដៅបានដោយជោគជ័យ
- CVE-2025-26633: ចំណុចខ្សោយធ្ងន់ធ្ងរនេះមាននៅ Microsoft Management Console ដោយសារតែកម្មវិធីមិនបានធ្វើការត្រួតពិនិត្យកម្រិតសុវត្ថិភាពឱ្យបានត្រឹមត្រូវដែលធ្វើឱ្យមានកំហុសឆ្គង use-after-free error ដែលអាចអនុញ្ញាតឱ្យចោរព័ត៌មានវិទ្យា ឬហេកគ័រ អាចធ្វើការផ្ញើសំណើពិសេសមួយចំនួន និងធ្វើប្រតិបត្តិកូដបំពាននៅលើប្រព័ន្ធដែលជាគោលដៅបានដោយជោគជ័យ
- CVE-2025-33053: ចំណុចខ្សោយធ្ងន់ធ្ងរនេះមាននៅ Microsoft MSHTML ដោយសារតែកម្មវិធីមិនបានធ្វើការត្រួតពិនិត្យឱ្យបានត្រឹមត្រូវនៅពេលអ្នកប្រើប្រាស់បញ្ចូលព័ត៌មាន។ តាមរយៈចំណុចខ្សោយនេះអាចអនុញ្ញាតឱ្យចោរព័ត៌មានវិទ្យា ឬហេកគ័រធ្វើការវាយប្រហារពីចម្ងាយបានដោយបង្កើតឯកសារការិយាល័យនិងបង្កប់កូដមេរោគដើម្បីធ្វើការបោកបញ្ឆោតឱ្យជនរងគ្រោះ បើកឯកសារហើយប្រតិបត្តិកូដបំពាននៅលើប្រព័ន្ធដែលរងផលប៉ះពាល់
- CVE-2025-49704,CVE-2025-49706: ចំណុចខ្សោយធ្ងន់ធ្ងរនេះមាននៅក្នុង Microsoft SharePoint ដោយសារតែកម្មវិធីមិនបានធ្វើការត្រួតពិនិត្យកម្រិតសុវត្ថិភាពឱ្យបានត្រឹមត្រូវ ដែលអាចអនុញ្ញាតឱ្យចោរព័ត៌មានវិទ្យា ឬហេកគ័រ បញ្ជូនទិន្នន័យដែលបង្កើតឡើងដោយពិសេសទៅកាន់កម្មវិធី និងបង្កឱ្យមានការរអាក់រអួលនៅលើប្រព័ន្ធគោលដៅ។
២. ផលិតផលម៉ៃក្រូសូហ្វដែលរងផលប៉ះពាល់
- Azure Monitor Agent
- Customer Experience Improvement Program (CEIP)
- Dynamics 365 Field Service (online)
- GitHub Copilot and Visual Studio Code
- Host Process for Windows Tasks
- Microsoft Configuration Manager
- Microsoft Dynamics 365 (on-premises)
- Microsoft Graphics Component
- Microsoft Office
- Microsoft Office Excel
- Microsoft Office SharePoint
- Microsoft Office Word
- Microsoft Streaming Service
- Microsoft Wireless Provisioning System
- Multimedia Class Scheduler Service (MMCSS)
- Nuance PowerScribe
- OneDrive for Android
- Role: Windows Hyper-V
- SQL Server
- sys Driver
- Visual Studio
- Visual Studio Code CoPilot Chat Extension
- Windows Administrator Protection
- Windows Ancillary Function Driver for WinSock
- Windows Bluetooth RFCOM Protocol Driver
- Windows Broadcast DVR User Service
- Windows Client-Side Caching (CSC) Service
- Windows Common Log File System Driver
- Windows DirectX
- Windows Kerberos
- Windows Kernel
- Windows License Manager
- Windows OLE
- Windows Remote Desktop
- Windows Routing and Remote Access Service (RRAS)
- Windows Smart Card
- Windows Speech
- Windows Subsystem for Linux GUI
- Windows TDX.sys
- Windows WLAN Service
៣. ផលវិបាក
ការវាយប្រហារដោយជោគជ័យទៅលើចំណុចខ្សោយខាងលើនេះ អាចអនុញ្ញាតឱ្យចោរព័ត៌មានវិទ្យា ឬហេកគ័រ ដំណើរការនូវកូដនានាពីចម្ងាយហើយធ្វើការគ្រប់គ្រងទៅលើម៉ាស៊ីនរងគ្រោះ ដើម្បីធ្វើសកម្មភាពមិនអនុញ្ញាតនានា រួមមានការដំឡើងកម្មវិធី បង្កើតនូវគណនីអភិបាលផ្សេងទៀត និងការបើកផ្លាស់ប្តូរ ឬលុបទិន្នន័យនានា។
៤. អនុសាសន៍ណែនាំ
អ្នកប្រើប្រាស់ និងអ្នកគ្រប់គ្រងប្រព័ន្ធត្រូវតែធ្វើការអាប់ដេតជាបន្ទាន់។
៥. ឯកសារពាក់ព័ន្ធ
- https://www.jpcert.or.jp/english/at/2025/at250025.html
- https://www.tenable.com/blog/microsoft-patch-tuesday-2025-year-in-review
