ด่วน! Zoom และ Xerox ออกอัปเดตความปลอดภัย ปิดช่องโหว่ร้ายแรง เสี่ยงถูกแฮกยกระดับสิทธิ์และสั่งรันโค้ดจากระยะไกล

Zoom และ Xerox ได้ออกประกาศอัปเดตความปลอดภัยเร่งด่วนสำหรับผลิตภัณฑ์ซอฟต์แวร์ของตนเอง เพื่อแก้ไขช่องโหว่ระดับวิกฤตที่อาจเปิดทางให้ผู้ไม่หวังดีสามารถ "ยกระดับสิทธิ์" (Privilege Escalation) ในระบบของ Zoom และ "สั่งรันโค้ดจากระยะไกล" (Remote Code Execution - RCE) บนซอฟต์แวร์ของ Xerox ได้

Zoom Clients สำหรับ Windows เสี่ยงถูกยกระดับสิทธิ์

Zoom ได้เปิดเผยช่องโหว่ร้ายแรงที่ส่งผลกระทบต่อโปรแกรม Zoom บนระบบปฏิบัติการ Windows โดยมีรหัสติดตามคือ CVE-2025-49457 และได้รับคะแนนความรุนแรงสูงถึง 9.6 (CVSS score)

ช่องโหว่ดังกล่าวเป็นประเภท "Untrusted search path" ซึ่งอธิบายง่ายๆ คือ เป็นช่องโหว่ในกระบวนการค้นหาไฟล์ของโปรแกรมที่อาจถูกหลอกให้ไปเรียกใช้ไฟล์อันตรายแทนไฟล์ปกติ ทำให้ผู้โจมตีที่ไม่ต้องยืนยันตัวตนสามารถใช้ช่องโหว่นี้ผ่านเครือข่ายเพื่อยกระดับสิทธิ์ของตนเองในระบบคอมพิวเตอร์ของเหยื่อได้

ที่น่าสนใจคือ ช่องโหว่นี้ถูกค้นพบโดยทีมรักษาความปลอดภัยเชิงรุก (Offensive Security) ของ Zoom เอง

ผลิตภัณฑ์ที่ได้รับผลกระทบและต้องอัปเดตด่วน:

Zoom Workplace for Windows (เวอร์ชันก่อน 6.3.10)
Zoom Workplace VDI for Windows (เวอร์ชันก่อน 6.3.10 ยกเว้นเวอร์ชัน 6.1.16 และ 6.2.12)
Zoom Rooms for Windows (เวอร์ชันก่อน 6.3.10)
Zoom Rooms Controller for Windows (เวอร์ชันก่อน 6.3.10)
Zoom Meeting SDK for Windows (เวอร์ชันก่อน 6.3.10)

Xerox FreeFlow Core เสี่ยงถูกควบคุมจากระยะไกล

CVE-2025-8355 (CVSS score: 7.5): ช่องโหว่ประเภท XML External Entity (XXE) injection ที่อาจนำไปสู่การปลอมแปลงคำสั่งฝั่งเซิร์ฟเวอร์ (Server-Side Request Forgery - SSRF)CVE-2025-8356
(CVSS score: 9.8): ช่องโหว่ร้ายแรงที่สุดประเภท Path Traversal ซึ่งเปิดทางให้ผู้โจมตีสามารถสั่งรันโค้ดอันตรายบนระบบที่ได้รับผลกระทบได้จากระยะไกล บริษัทด้านความปลอดภัยไซเบอร์ Horizon3.ai เตือนว่า "ช่องโหว่เหล่านี้สามารถถูกเจาะระบบได้ไม่ยาก และหากทำสำเร็จ ผู้โจมตีอาจสามารถสั่งการใดๆ ก็ได้บนระบบที่ถูกแฮก ขโมยข้อมูลสำคัญ หรือใช้เป็นฐานในการเจาะเข้าสู่ระบบอื่นๆ ภายในเครือข่ายขององค์กรต่อไป"

คำแนะนำ: ผู้ใช้งานซอฟต์แวร์ Zoom และ Xerox ที่อยู่ในรายการข้างต้น ควรรีบอัปเดตเป็นเวอร์ชันล่าสุดโดยทันที เพื่อปิดความเสี่ยงและป้องกันตนเองจากการตกเป็นเหยื่อของการโจมตีทางไซเบอร์

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก

ด่วน! Zoom และ Xerox ออกอัปเดตความปลอดภัย ปิดช่องโหว่ร้ายแรง เสี่ยงถูกแฮกยกระดับสิทธิ์และสั่งรันโค้ดจากระยะไกล

ระบอบฮุนเซน แทรกแซงครอบงำการเมืองไทยหรือไม่ ระวังจะถูกแทรกแซงครอบงำกลับ

มัดรวมไว้ที่เดียว สรุปเหตุการณ์ไทยปะทะกัมพูชา พฤ 24 ก.ค.68 ทุกคลิปข่าว 116 คลิปตลอด 24 ชั่วโมง

ป๋าแหง็ม ร่วมไว้อาลัย ไพโรจน์ สังวริบุตร เสียชีวิตในวัย 72 ปี ปิดตำนานตั้ม วัยอลวน

แอร์ฯแฉเอง กัปตันกินตับลูกเรือทั้งที่กำลังบินอยู่

Categories

ด่วน! Zoom และ Xerox ออกอัปเดตความปลอดภัย ปิดช่องโหว่ร้ายแรง เสี่ยงถูกแฮกยกระดับสิทธิ์และสั่งรันโค้ดจากระยะไกล

คุณอาจจะชอบ