Microsoft tung bản vá lỗ hổng bảo mật khẩn cấp yêu cầu người dùng cần cập nhật ngay

Microsoft đang triển khai bản cập nhật bảo mật lớn nhất từ đầu năm đến nay, trong khuôn khổ chương trình vá lỗi Patch Tuesday diễn ra định kỳ vào thứ Ba của tuần thứ hai mỗi tháng.

Riêng đợt cập nhật tháng 4 năm 2025 này đã xử lý tổng cộng 134 lỗ hổng bảo mật ở các cấp độ, trải dài từ hệ điều hành Windows cho đến các dịch vụ và phần mềm phổ biến như Microsoft Office, Hyper-V hay trình duyệt Edge.

Một trong những điểm đáng chú ý nhất là lỗ hổng zero-day mang mã định danh CVE-2025-29824, nằm trong thành phần Windows Common Log File System (CLFS). Đây là một lỗi nâng cao đặc quyền, có thể bị lợi dụng để chiếm quyền kiểm soát hệ thống ở mức cao nhất nếu kẻ tấn công có được quyền truy cập ban đầu vào thiết bị.

Microsoft tung bản cập nhật vá 134 lỗ hổng bảo mật 

Theo Microsoft Threat Intelligence Center, lỗ hổng này đã bị khai thác thực tế bởi nhóm ransomware RansomEXX, vốn là một trong những nhóm chuyên thực hiện các cuộc tấn công mã độc tống tiền nhắm vào doanh nghiệp và tổ chức lớn trên toàn cầu.

Cùng với lỗ hổng zero-day, bản vá tháng này còn khắc phục hàng loạt vấn đề bảo mật khác. Tổng cộng có 49 lỗi liên quan đến việc nâng cao đặc quyền, 9 lỗi bỏ qua tính năng bảo mật, 31 lỗi cho phép thực thi mã từ xa, 17 lỗi tiết lộ thông tin, 14 lỗi gây từ chối dịch vụ và 3 lỗi giả mạo dữ liệu.

Trong số đó, 11 lỗ hổng thực thi mã từ xa được phân loại là nghiêm trọng, xuất hiện trong các thành phần quan trọng như Microsoft Office, Excel, Remote Desktop Gateway Service, nền tảng máy ảo Hyper-V, Windows LDAP và giao thức mạng TCP/IP.

Không chỉ dừng lại ở Windows và Office, đợt cập nhật này còn mở rộng sang hệ điều hành Mariner, nền tảng nội bộ dùng trong môi trường container của Microsoft, và trình duyệt Microsoft Edge với tổng cộng 13 lỗi được sửa.

 Bảo Linh (t/h)