วันที่เผยแพร่ต้นฉบับ: 8 เมษายน 2025
KB ID: 5058189
บทสรุป
ช่องโหว่ที่มีอยู่ใน Windows ที่อนุญาตให้ผู้ใช้ที่ไม่ได้รับอนุญาตสามารถดูเส้นทางแฟ้มแบบเต็มไปยังทรัพยากรที่พวกเขาไม่มีสิทธิ์ในการเข้าถึง ช่องโหว่นี้อาจเกิดขึ้นเมื่อผู้ใช้มีสิทธิ์ในการเข้าถึงโฟลเดอร์แม่ FILE_LIST_DIRECTORY และรับการแจ้งเตือนการเปลี่ยนแปลงไดเรกทอรี
สําหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่นี้ โปรดดู CVE-2025-21197 และ CVE-2025-27738
ข้อมูลเพิ่มเติม
การแก้ไขสําหรับช่องโหว่นี้รวมอยู่ในการอัปเดต Windows ที่เผยแพร่ในวันที่ 8 เมษายน 2025 หรือหลังจากนั้น
การแก้ไขนี้สามารถใช้ได้กับไดรฟ์ข้อมูล NTFS และ ReFS เพื่อป้องกันช่องโหว่นี้ การแก้ไขนี้จะดําเนินการตรวจสอบการเข้าถึง FILE_LIST_DIRECTORY กับโฟลเดอร์แม่ของไฟล์หรือโฟลเดอร์ที่เปลี่ยนแปลงก่อนที่จะรายงานการเปลี่ยนแปลงไปยังผู้ใช้ที่ไม่ได้รับอนุญาต ถ้าผู้ใช้ไม่มีสิทธิ์ที่จําเป็น การแจ้งเตือนการเปลี่ยนแปลงจะถูกกรองออก ป้องกันการเปิดเผยเส้นทางไฟล์ที่ไม่ได้รับอนุญาต
ตามค่าเริ่มต้น การแก้ไขนี้จะถูกปิดใช้งานเพื่อป้องกันความเสี่ยงด้านความปลอดภัยที่ไม่คาดคิดหรือการหยุดชะงักของแอปพลิเคชัน
เมื่อต้องการเปิดใช้งานการแก้ไขนี้ คุณสามารถตั้งค่ารีจิสทรีคีย์หรือค่าคีย์นโยบายกลุ่มบนระบบที่ได้รับผลกระทบ เมื่อต้องการทําเช่นนี้ ให้ใช้วิธีใดวิธีหนึ่งต่อไปนี้
วิธีที่ 1: รีจิสทรี
ในรีจิสทรีของ Windows ให้เปิดการแก้ไขในนโยบายหรือคีย์ย่อย FileSystem
ความระมัดระวัง หากทั้ง คีย์ย่อย Policies และ FileSystem ถูกเปิดใช้งาน คีย์ย่อย Policies จะมีความสําคัญ
|
นโยบาย |
ตําแหน่งที่ตั้งของรีจิสทรี: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies ชื่อ DWORD: EnforceDirectoryChangeNotificationPermissionCheck วันที่ของค่า: 1 (ค่าเริ่มต้นคือ 0) หมายเหตุ เมื่อต้องการปิดการแก้ไข ให้ตั้งค่า ข้อมูลค่า เป็น 0 |
|
FileSystem |
ตําแหน่งที่ตั้งของรีจิสทรี: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem ชื่อ DWORD: EnforceDirectoryChangeNotificationPermissionCheck วันที่ของค่า: 1 (ค่าเริ่มต้นคือ 0) หมายเหตุ เมื่อต้องการปิดการแก้ไข ให้ตั้งค่า ข้อมูลค่า เป็น 0 |
วิธีที่ 2: PowerShell
เมื่อต้องการเปิดใช้งานการแก้ไข ให้เรียกใช้ PowerShell ในฐานะผู้ดูแลระบบ และเปิดใช้งานการแก้ไขในนโยบายหรือคีย์ย่อย FileSystem
|
นโยบาย |
เรียกใช้คําสั่งนี้: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Policies" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 1 -Type Dword |
|
FileSystem |
เรียกใช้คําสั่งนี้: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\FileSystem" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 1 -Type DWord |
เมื่อต้องการปิดใช้งานการแก้ไข ให้เรียกใช้ PowerShell ในฐานะผู้ดูแลระบบ และปิดการแก้ไขในนโยบายหรือคีย์ย่อย FileSystem
|
นโยบาย |
เรียกใช้คําสั่งนี้: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Policies" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 0 -Type DWord |
|
FileSystem |
เรียกใช้คําสั่งนี้: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\FileSystem" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 0 -Type DWord |
