ซัมซงออกอัพเดตเฟิร์มแวร์รอบเดือนกรกฎาคม 2020 ให้กับ Galaxy S20, S20+, 20 Ultra โดยรวมแพตช์ความปลอดภัย Android ประจำเดือนกรกฎาคมมาให้เรียบร้อยแล้ว รวมถึงการปรับปรุงซอฟต์แวร์กล้อง และเพิ่มฟีเจอร์ให้แอพ Voice Recorder รองรับไมโครโฟนแบบ Bluetooth

ช่วงหลัง ซัมซุงปรับปรุงเรื่องการอัพเดตซอฟต์แวร์ประจำเดือนที่ทำได้เร็วขึ้นมาก (แถมซัพพอร์ตยาวนานขึ้นด้วย) และมีบางเดือนที่สามารถออกแพตช์ความปลอดภัย Android ได้ก่อน Google Pixel ด้วยซ้ำ

ไมโครซอฟท์ปล่อยแพตช์ความปลอดภัยประจำเดือนมิถุนายนตามรอบ Patch Tuesday โดยรอบนี้มีความพิเศษสักหน่อยคือช่องโหว่รันโค้ดระยะไกล (remote code execution - RCE) ที่เป็นช่องโหว่ร้ายแรงระดับวิกฤตินั้นมากถึง 11 รายการ กระทบตัววินโดวส์เอง อย่าง File Explorer, เซิร์ฟเวอร์ SharePoint, เบราว์เซอร์ Edge ในส่วนของ ChakraCore, และ Internet Explorer ส่วน VBScript

แม้จะมีช่องโหว่ร้ายแรงสูงจำนวนมาก แต่ช่องโหว่ในกลุ่มนี้ก็ยังไม่มีรายละเอียดออกมาสู่สาธารณะและไม่มีรายงานการโจมตีจริง โดยมีช่องโหว่ระดับสำคัญรองลงมามีรายงานออกมาจาก ZDI ก่อนหน้านี้เพราะเกินกำหนดการปิดบังช่องโหว่

ไมโครซอฟท์ออก Patch Tuesday รอบเดือนพฤษภาคม 2020 อัพเดตแพตช์ชุดใหญ่ให้ Windows, Edge, IE, Office, Visual Studio, Dynamics, .NET, Power BI รวมอุดช่องโหว่ทั้งหมด 111 ตัว

แพตช์สำคัญในเดือนนี้คืออุดช่องโหว่ไดรเวอร์ของเคอร์เนล (Win32k), Windows Graphics Component, Microsoft Color Management, Windows Media Foundation จึงส่งผลต่อ Windows แทบทุกรุ่น อย่างไรก็ตาม ช่องโหว่ประจำเดือนนี้ยังไม่มีรายงานว่าถูกใช้โจมตีโดยแฮ็กเกอร์ เหมือนที่เกิดขึ้นในเดือนที่แล้ว

SaltStack เฟรมเวิร์คจัดการโครงสร้างพื้นฐานไอที แจ้งเตือนช่องโหว่ CVE-2020-11651 และ CVE-2020-11652 ที่ฟังก์ชั่นตรวจสอบอินพุตไม่ครบถ้วน ทำให้แฮกเกอร์ยิงโค้ดจากระยะไกลเข้าไปรันบนเซิร์ฟเวอร์ได้ โดยช่องโหว่ CVE-2020-11651 นั้นไม่จำเป็นต้องเป็นผู้ใช้ที่ล็อกอินล่วงหน้า ทำให้เซิร์ฟเวอร์จำนวนมากตกอยู่ในความเสี่ยงทันที ตอนนี้มีหน่วยงานหลายหน่วยงานรายงานว่าถูกโจมตีแล้ว ได้แก่ DigiCert หน่วยงานออกใบรับรองเข้ารหัส, Ghost แอปเขียนบล็อก, และ LineageOS ผู้พัฒนาระบบปฎิบัติการแอนดรอยด์อิสระ

ภาระการอัพเดตแพตช์ความปลอดภัยของ OS เป็นเรื่องน่าปวดหัวของแอดมินทุกสมัย แม้ย้ายขึ้นมาบนคลาวด์แล้วก็ตาม ล่าสุด Google Cloud เปิดตัวบริการอัพเดตแพตช์ของ OS ใน VM ให้อัตโนมัติ ใช้ได้ทั้ง VM ที่เป็นวินโดวส์และลินุกซ์

ฟีเจอร์นี้มีชื่อเรียกว่า OS patch management service ตอนนี้ใช้ได้กับ Google Compute Engine โดยแอดมินจะเห็นหน้าแดชบอร์ดรายงานสถานะแพตช์ความปลอดภัยของ VM ทั้งหมด และสามารถตั้งค่าการอัพเดตแตช์อัตโนมัติได้ กำหนดเวลาล่วงหน้าได้ด้วย

กูเกิลเปิดให้ใช้ฟีเจอร์นี้ฟรีจนถึงสิ้นปี 2020

ที่มา - Google

ไมโครซอฟท์ออก Patch Tuesday รอบเดือนเมษายน 2020 ให้กับผลิตภัณ์ในเครือชุดใหญ่ ทั้ง Windows, Edge (เก่า+ใหม่), Office, Visual Studio, Dynamics ฯลฯ เพื่ออุดช่องโหว่จำนวนทั้งหมด 113 ช่องโหว่

ในจำนวนนี้มีช่องโหว่ระดับร้ายแรง (critical) จำนวน 15 ช่องโหว่ มีช่องโหว่แบบ zero-day จำนวน 4 ตัว โดย 2 ตัวถูกใช้โจมตีแล้ว ต้นเหตุสำคัญมาจากไลบรารี Adobe Font Manager ที่ฝังอยู่ใน Windows ทุกรุ่น

ไมโครซอฟท์เตือนว่าการโจมตีผ่านช่องโหว่ Adobe Font Manager Library ในระบบปฏิบัติการ Windows รุ่นเก่าๆ (ทุกตัวยกเว้น Windows 10) แฮ็กเกอร์สามารถเข้ามารันโค้ดในเครื่องของเราได้ ในกรณีที่ที่เป็น Windows 10 แฮ็กเกอร์เจาะเข้ามาได้แต่จะรันโค้ดได้ใน sandbox เท่านั้น

โครงการแอนดรอยด์ออกแพตช์ความปลอดภัยรอบเดือนกุมภาพันธ์ โดยช่องโหว่ชุดที่ร้ายแรงที่สุดได้แก่ CVE-2020-2022 ที่เป็นช่องโหว่รันโค้ดระยะไกลที่คนร้ายยิงโค้ดเข้ามารันในเครื่องได้เมื่อเครื่องของเหยื่อเปิด Bluetooth โดยยืนยันว่ากระทบแอนดรอยด์ 8.0 ถึง 9.0 ส่วนเวอร์ชั่น 10 นั้นทำให้โมดูล Bluetooth แครชเท่านั้น ไม่ได้เปิดทางให้รันโค้ดแต่อย่างใด

ช่องโหว่นี้รายงานโดยบริษัท EMRW บริษัทด้านความมั่นคงปลอดภัยไซเบอร์จากเยอรมัน

หากยังไม่ได้รับแพตช์ ผู้ใช้มีทางลดความเสี่ยงคือปิด Bluetooth เมื่อไม่ได้ใช้งาน โดยช่องโหว่นี้จะเจาะได้เฉพาะช่วงเวลาที่ Bluetooth อยู่ในโหมด discoverable หรือช่วงเวลาสแกนเพื่อเชื่อมต่ออุปกรณ์ใหม่เท่านั้น อย่างไรก็ดีโทรศัพท์บางรุ่นเปิดโหมด discoverable ไว้ตลอดเวลา

ซิสโก้ออกแพตช์ความปลอดภัยสำหรับอุปกรณ์ของตัวเองชุดใหญ่ กระทบตั้งแต่อุปกรณ์เน็ตเวิร์คอย่างสวิตช์และเราท์เตอร์ ไปจนถึงอุปกรณ์ไคลเอนต์อย่างไอพีโฟน โดยความร้ายแรงของช่องโหว่นี้เปิดทางให้แฮกเกอร์เข้าไปรันโค้ดบนอุปกรณ์ได้

ช่องโหว่เกิดจากโค้ดส่วน Cisco Discovery Protocol (CDP) ที่อุปกรณ์ซิสโก้จะประกาศตัวว่าอยู่บนเน็ตเวิร์ค ทำให้อุปกรณ์ตัวอื่นๆ มองเห็นอุปกรณ์ข้างเคียง การอิมพลีเมนต์ที่ผิดพลาดทำให้แฮกเกอร์สามารถสร้างแพ็กเก็ต CDP มุ่งร้ายเพื่อเจาะระบบ

NSA แจ้งเตือนถึงแพตช์ช่องโหว่ CVE-2020-0601 กระทบ Windows 10, Windows Server 2016, และ Windows Server 2019 ที่เป็นความผิดพลาดของฟังก์ชั่นเข้ารหัสลับ ส่งผลให้แฮกเกอร์สามารถปลอมตัวในการเชื่อมต่อ HTTPS, การส่งเมลเข้ารหัส, และการเซ็นโค้ดจากผู้ผลิต

ผลกระทบช่องโหว่นี้มีตั้งแต่ เว็บเซิร์ฟเวอร์หรือพรอกซี่ที่เข้ารหัส, การเชื่อมต่อระหว่าง Domain Controller, การส่งโค้ดอัพเดต, การเชื่อมต่อ VPN

ช่องโหว่นี้เป็นช่องโหว่ในกระบวนการ Elliptic Curve เท่านั้นทาง NSA แนะนำถึงการตรวจสอบการโจมตีว่าหากมีการใช้พารามิเตอร์การเข้ารหัส ไม่ตรงกับ curve ที่ประกาศไว้ ก็น่าสงสัยว่าจะเป็นการโจมตี

ตอนนี้แพตช์ออกมาแล้ว และทุกคนควรติดตั้งโดยเร็ว

Mozilla ประกาศออกรุ่นย่อย Firefox 72.0.1 และรุ่น ESR 68.4.1 หลังได้รับรายงานช่องโหว่ CVE-2019-17026 จากทีมงาน Qihoo 360 และพบว่ามีการโจมตีช่องโหว่นี้แล้ว โดยเป็นการโจมตีอย่างเจาะจง

รายละเอียดช่องโหว่ยังไม่เปิดเผยต่อสาธารณะ แต่ทาง Mozilla ก็ระบุว่าเป็นช่องโหว่ของ IonMonkey JIT ที่เปิดทางให้โจมตีแบบ type confusion ได้ โดยช่องโหว่มีผลกระทบระดับวิกฤติ

Firefox 72 เพิ่งออกมาวันเดียวเท่านั้น หากใครกำลังอัพเดตก็ควรอัพเดตไปตัวล่าสุดเลยทีเดียว

ที่มา - Firefox

ที่ผ่านมาซัมซุงขึ้นชื่อเรื่องความช้าในการอัพเดตมาตลอด แม้ระยะหลังจะรวดเร็วขึ้นก็ตาม แต่ก็ยังถือว่าช้ากว่าหลาย ๆ เจ้า และล่าสุดดูเหมือนสัญญาณเรื่องความเร็วในการอัพเดตจะดีขึ้น เมื่อซัมซุงก็ส่งแพตช์รักษาความปลอดภัยเดือนมกราคม ให้ Galaxy Note 10 ในเยอรมันได้อัพเดตแล้ว ซึ่งปล่อยก่อน Google จะอัพเดตให้ Pixel (ตามปกติมักเป็นวันที่ 5 ของเดือน) ด้วยซ้ำ

นอกจาก Galaxy Note 10 สมาร์ทโฟน Galaxy A10, A10s, A20, A30, A50 รวมทั้งแท็บเล็ต Galaxy Tab S5e ก็ได้อัพเดตนี้เช่นกัน แต่แพตช์นี้มีแค่อัพเดตการรักษาความปลอดภัยเท่านั้น ไม่มีฟีเจอร์ใหม่เพิ่มเข้ามา โดยจะมีแจ้งเตือนให้อัพเดตแบบ OTA หรือเช็คว่าได้อัพเดตหรือยังที่ Settings > Software update ก็ได้

ที่มา: SamMobile via Android Police

เดือนที่แล้วเกิดปัญหาผู้ใช้ Pixel 3 หลายคนยังไม่ได้รับอัพเดตแพทช์รักษาความปลอดภัยเดือนธันวาคม 2019 จากกูเกิล จึงมีผู้ใช้ทวีตถามถึงแพทช์ดังกล่าว นอกจากนี้ในทวีตดังกล่าวก็มีผู้ใช้ Pixel 4 ยังไม่ได้อัพเดตแพทช์รักษาความปลอดภัยตั้งแต่เดือนพฤศจิกายน 2019 อีกหลายคนด้วย

ทางกูเกิลได้ตอบว่าแพทช์รักษาความปลอดภัยของเดือนธันวาคม 2019 จะอัพเดตให้พร้อมกับแพทช์รักษาความปลอดภัยเดือนมกราคม 2020 เร็ว ๆ นี้ (ตามปกติคือราววันที่ 5 ของแต่ละเดือน) แต่ยังไม่ทราบรายละเอียดว่ามีอัพเดตเรื่องใดบ้าง

ที่มา: 9to5Google

ไมโครซอฟท์ออกแพตช์รายเดือนประจำเดือนธันวาคม โดยรวมมีช่องโหว่ได้รับการแก้ไข 36 รายการ เป็นช่องโหว่ระดับวิกฤติ 7 รายการ ระดับสำคัญ 27 รายการ

ช่องโหว่ที่สำคัญในรอบนี้คือ CVE-2019-1458 ช่องโหว่ยกระดับสิทธิ์ เปิดทางให้แฮกเกอร์ล็อกอินอยู่บนเครื่องแล้วสามารถรันโค้ดในเคอร์เนลได้ ช่องโหว่นี้เป็นหนึ่งในช่องโหว่ที่คนร้ายใช้โจมตี Chrome 78 เมื่อเดือนตุลาคมที่ผ่านมา จนทำให้ทีมงาน Chrome ปล่อยแพตช์นอกรอบเป็นกรณีพิเศษ

แม้ว่า Chrome จะแพตช์ไปแล้ว แต่ช่องโหว่ฝั่งวินโดวส์ก็ควรอุดช่องโหว่ให้เรียบร้อยก่อนที่จะมีแฮกเกอร์นำช่องโหว่นี้ไปใช้อีก

อินเทลออกแพตช์เฟิร์มแวร์ซีพียู หลังนักวิจัยรายงานถึงการโจมตี Plundervolt ที่สามารถอ่านข้อมูลออกจากส่วน Software Guard Extensions (SGX) ได้สำเร็จ

SGX เป็นแยกการทำงานของโค้ดออกจากซีพียูปกติ ทำให้เราสามารถรักษาความปลอดภัยข้อมูลภายในแม้คนร้ายจะถือสิทธิ์ root ของระบบปฎิบัติการหลักก็ตาม การป้องกันนี้มีประโยชน์สำหรับข้อมูลชั้นความลับลึกมากๆ เช่น กุญแจเข้ารหัสเว็บ

ทีมวิจัยอาศัยการปรับความต่างศักย์ของไฟที่จ่ายเข้าซีพียู โดยเมื่อปรับลดความต่างศักย์ลงถึงค่าหนึ่งซีพียูจะเริ่มทำงานผิดพลาดในบางคำสั่ง เช่น คำสั่งคูณเลขที่ใช้พลังงานสูง นักวิจัยอาศัยการคำนวณตำแหน่งหน่วยความจำของโค้ดใน SGX ให้ผิดพลาดจนไปเขียนข้อมูลลงหน่วยความจำที่แฮกเกอร์ควบคุมไว้แทน

Stefan Viehböck นักวิจัยจากบริษัท SEC Consult รายงานถึงช่อโหว่ของซอฟต์แวร์รักษาความปลอดภัยของบริษัท Fortinet ที่เชื่อมต่อกับเซิร์ฟเวอร์ guard.fortinet.com เพื่อตรวจสอบข้อมูล เช่น URL มุ่งร้ายในบริการ Web Filter, ตรวจอีเมลสแปม, หรือดาวน์โหลดข้อมูลสำหรับการป้องกันไวรัส

การเชื่อมต่อใช้ UDP พอร์ต 53/8888 และ TCP พอร์ต 80 โดยกระบวนการเชื่อมต่อไม่ได้เข้ารหัส แต่ข้อความภายในมีการเข้ารหัสด้วยกุญแจเข้ารหัสที่ hard code แล้วเข้ารหัสโดยนำกุญแจมา XOR กับข้อความ นับเป็นกระบวนการเข้ารหัสที่อ่อนแอ

OnePlus จะปล่อยแพทช์รักษาความปลอดภัยเวอร์ชั่นสุดท้ายให้กับสมาร์ทโฟน OnePlus 3, 3T หลังจากเปิดตัวมาเมื่อปี 2016 ที่ผ่านมา อิงตามนโยบายการปรับปรุงซอฟท์แวร์ของทางบริษัท สมาร์ทโฟนของ OnePlus ทุกเครื่องจะได้การอัพเดตซอฟท์แวร์เวอร์ชั่นใหม่ต่อเนื่อง 2 ปี จากนั้นเป็นแพทช์รักษาความปลอดภัยอีก 1 ปี ก่อนที่ทางบริษัทจะหยุดการสนับสนุนลง

โดยแพทช์รักษาความปลอดภัยของเดือนตุลาคม 2019 นี้จะแบ่งเป็นการอัพเดตแอพ GMS ในเครื่อง, แก้ไขบั๊กและเพิ่มประสิทธิภาพให้มือถือด้วย โดยจะอัพเดตแบบ OTA ให้กับผู้ใช้บางส่วนเพื่อทดสอบว่าพบปัญหาระหว่างใช้งานหรือไม่ ก่อนจะปล่อยให้เจ้าของเครื่อง OnePlus 3, 3T ทุกคนในภายหลัง

ที่มา: OnePlus via XDA-Developers

กูเกิลปล่อยอัพเดต Chrome 78.0.3904.87 แก้ไขช่องโหว่ระดับความร้ายแรงสูง 2 รายการได้แก่

• CVE-2019-13721: ช่องโหว่การใช้หน่วยความจำใน PDFium รายงานโดย banananapenguin ตั้งแต่วันที่ 12 ตุลาคมที่ผ่านมา
• CVE-2019-13720: ช่องโหว่การใช้หน่วยความจำในระบบประมวลเสียง รายงานโดยทีมวิจัย Kaspersky Labs เมื่อวันที่ 29 ตุลาคมที่ผ่านมา

ช่องโหว่ CVE-2019-13720 นั้นถูกโจมตีจริงแล้ว อย่างไรก็ดีกูเกิลจะปิดรายละเอียดช่องโหว่ทั้งสองไว้จนกว่าคนส่วนใหญ่จะได้รับแพตช์ โดย Chrome 78 เองก็เพิ่งปล่อยรุ่นเสถียรไปเมื่อสัปดาห์ที่แล้วเท่านั้น

ไมโครซอฟท์ออกแพตช์ด่วนหลังได้รับแจ้งการโจมตีช่องโหว่ Internet Explorer (IE) จาก Google Threat Analysis Group โดยเป็นแพตช์รันโค้ดบนเครื่องผู้ใช้ในระดับสิทธิ์เดียวกับผู้ใช้ที่รันเบราว์เซอร์อยู่ ซึ่งหากผู้ใช้รัน IE ด้วยสิทธิ์ผู้ดูแลระบบก็จะเท่ากับคนร้ายยึดเครื่องได้เต็มรูปแบบ

ช่องโหว่ CVE-2019-1367 นี้เกิดจากความผิดพลาดในการจัดการออปเจกต์ในหน่วยความจำของ IE กระทบตั้งแต่ IE 9 ถึง IE 11 ทำให้แฮกเกอร์เพียงหลอกลวงผู้ใช้ให้เข้าเว็บก็สามารถรันโค้ดได้

นอกจากการอัพเดตตรงๆ ไมโครซอฟท์ยังแนะนำทางแก้ปัญหาชั่วคราวด้วยการจำกัดการเข้าถึงไฟล์ jscript.dll แต่อาจจะกระทบต่อการใช้งาน และไมโครซอฟท์แนะนำให้ติดตั้งแพตช์โดยตรงจะดีที่สุด

ไมโครซอฟท์ปล่อยแพตช์ความปลอดภัยประจำเดือนกรกฎาคม ตามกำหนดวันอังคารที่สองของเดือน โดยรอบนี้มีแพตช์อุดช่องโหว่ระดับวิกฤติ 14 รายการ, ระดับสำคัญ 62 รายการ และปานกลาง 1 รายการ อย่างไรก็ดีมีช่องโหว่ที่มีข้อมูลหลุดสู่สาธารณะก่อนแพตช์ 6 รายการ และมีช่องโหว่ที่ถูกโจมตีไปแล้ว 2 รายการ

ช่องโหว่ที่ถูกโจมตีแล้วทั้งสองรายการเป็นช่องโหว่ ยกระดับสิทธิ์ (privilege escalation) ช่องโหว่หนึ่งทำให้แฮกเกอร์ที่รันซฮฟต์แวร์บนเครื่องได้สามารถยกระดับสิทธิ์ของโปรแกรมไปทำงานในโหมดเคอร์เนลได้ ขณะที่ช่องโหว่ระดับวิกฤติเป็นกลุ่มรันโค้ดระยะไกล (remote code execution) ทั้งหมด

Oracle ประกาศและแจ้งเตือนลูกค้า Oracle WebLogic ให้อัพเดตแพตช์อุดช่องโหว่ CVE-2019-2729 ซึ่งเป็นช่องโหว่ Zero-Day ที่มีคะแนน CVSS ถึง 9.8 จาก 10 ที่เปิดโอกาสให้แฮกเกอร์สามารถรันโค้ดทางไกลและเข้ายึดเครื่องได้โดยไม่ต้องยืนยันตัวตนใดๆ

Oracle WebLogic เวอร์ชันที่ได้รับผลกระทบคือ 10.3.6.0.0, 12.1.3.0.0, และ 12.2.1.3.0 โดยนักวิจัยด้านความปลอดภัยจาก KnownSec 404 ระบุว่ามีความพยายามโจมตีผ่านช่องโหว่นี้แล้วด้วย

มีรายงานช่องโหว่ของซอฟต์แวร์ Dell SupportAssist ที่เป็นซอฟต์แวร์สำหรับช่วยเหลือลูกค้าเดลล์ที่ติดตั้งมาให้กับโน้ตบุ๊กและพีซีของเดลล์อีกครั้ง (CVE-2019-12280) ซึ่งสามารถล็อกอินระยะไกลใช้สิทธิผู้ดูแลระบบได้ ซึ่งเป็นช่องโหว่เพิ่มเติมจากที่เคยมีรายงานเมื่อเดือนก่อน

ทั้งนี้ซอฟต์แวร์ Dell SupportAssist ไม่ได้พัฒนาโดยเดลล์ แต่เป็นซอฟต์แวร์ของ PC Doctor

เดลล์ได้ออกแพตช์แก้ไขไปเรียบร้อยแล้ว โดยผู้ใช้งานที่เลือกอัพเดตอัตโนมัติก็จะได้เวอร์ชันที่แก้ปัญหานี้แล้ว แต่หากไม่ได้เปิดไว้ก็สามารถดาวน์โหลดเองได้ (รายละเอียดดูที่มา) โดย Dell SupportAssist สำหรับ Business PC เป็นเวอร์ชัน 2.0.1 และ Home PCs เวอร์ชัน 3.2.2

Firefox ออกแพตช์ฉุกเฉินใน Firefox 67.0.3 และ Firefox ESR 60.7.1 เพื่ออุดช่องโหว่ CVE-2019-11707 ซึ่งเป็นช่องโหว่ระดับวิกฤติในฟังก์ชัน .pop() ที่เปิดโอกาสให้แฮกเกอร์รันสคริปต์ JavaScript และเข้าควบคุมเครื่องได้จากทางไกล

ช่องโหว่นี้ถูกค้นพบโดย Samuel Groß จากทีม Google Project Zero และทีมงาน Coinbase Security โดยช่องโหว่นี้ถูกนำไปใช้ผ่านการโจมตีด้วย spear phishing แล้ว ดังนั้นใครใช้ Firefox ควรรีบอัพเดตเบราว์เซอร์ด่วน

ที่มา - ThreatPost

ไมโครซอฟท์ปล่อยแพตช์ Patch Tuesday ประจำเดือนมิถุนายนอุดช่องโหว่ทั้งหมด 88 จุด โดยเป็นระดับวิกฤติ (critical) 21 จุด รวมถึงอุดช่องโหว่ zero-day 4 ช่องโหว่ได้แก่

• CVE-2019-0973 ช่องโหว่ที่ยกระดับสิทธิใน Windows Installer
• CVE-2019-1053 ช่องโหว่ที่ยกระดับสิทธิใน Windows Shell
• CVE-2019-1064 ช่องโหว่ที่ยกระดับสิทธิบน Windows
• CVE-2019-1069 ช่องโหว่ที่ยกระดับสิทธิใน Task Scheduler

ไมโครซอฟท์แจ้งเตือนช่องโหว่ CVE-2019-0708 ที่เปิดทางให้แฮกเกอร์โจมตีจากระยะไกลผ่านทาง Remote Desktop Protocol (RDP) สามารถรันโค้ดในเครื่องเหยื่อได้ ส่งผลให้วินโดวส์ที่เปิด RDP ไว้เสี่ยงต่อการโจมตีทั้งหมด ความร้ายแรงของช่องโหว่นี้เปิดทางให้แฮกเกอร์สามารถพัฒนาเวิร์มที่สแกนเครื่องต่อๆ ไปได้อัตโนมัติแบบเดียวกับ WannaCry เมื่อหลายปีก่อน

ตอนนี้ไมโครซอฟท์ออกแพตช์รอบพิเศษให้ทั้งวินโดวส์ที่ยังซัพพอร์ตอยู่ ได้แก่ Windows 7, Windows Server 2008 และวินโดวส์ที่หมดซัพพอร์ตไปแล้ว คือ Windows Server 2003 และ XP ขณะที่วินโดวส์รุ่นใหม่ๆ อย่าง Windows 8, Windows 10 ไม่ได้รับผลกระทบจากช่องโหว่นี้

ไมโครซอฟท์แนะนำให้ผู้ที่ไม่สามารรถอัพเดตแพตช์ได้ ปิด RDP หรือบล็อคพอร์ต 3389 ทิ้งเสีย

ซอฟต์แวร์ Dell SupportAssist สำหรับให้ความช่วยเหลือลูกค้าเดลล์ที่ติดตั้งไปกับโน้ตบุ๊กและพีซีของเดลล์มีช่องโหว่รันโค้ดระยะไกล โดยโค้ดจาวาสคริปต์ที่มุ่งร้ายสามารถสั่งให้โปรแกรมดาวน์โหลดซอฟต์แวร์มาติดตั้งในเครื่องและสั่งรันซอฟต์แวร์นั้นขึ้นมาได้

แฮกเกอร์ต้องสามารถล่อให้ผู้ใช้เข้าเว็บที่มุ่งร้ายจึงจะโจมตีได้สำเร็จ และนอกจากนี้ยังต้องสามารถปลอม DNS ของโดเมน dell.com ให้ชี้ไปยังเครื่องของคนร้ายได้ (ซึ่งทำได้ไม่ยากหากอยู่บนเน็ตเวิร์คเดียวกัน) แต่ความน่ากังวลคือ SupportAssist รันอยู่ด้วยสิทธิ์ admin หากคนร้ายโจมตีสำเร็จก็เท่ากับยึดเครื่องได้เลย