Thanh Niên Tin tức công nghệ

Hàng triệu thiết bị Windows cần cập nhật hệ thống ngay lập tức

1 ngày trước

Microsoft vừa phát hành bản cập nhật bảo mật cuối cùng của năm 2025 cho Windows nhằm khắc phục 57 lỗ hổng bảo mật, bao gồm 3 lỗ hổng zero-day.

Trong số các lỗ hổng Windows vừa được Microsoft khắc phục, một lỗ hổng được đánh giá nghiêm trọng và đang bị tin tặc khai thác. Được theo dõi với mã CVE-2025-62221 và có điểm CVSS (điểm đánh giá mức độ nghiêm trọng của lỗ hổng) là 7,8, lỗ hổng liên quan đến vấn đề sử dụng bộ nhớ sau khi đã giải phóng (use-after-free) trong trình điều khiển Windows Cloud Files Mini Filter.

Microsoft cảnh báo rằng việc khai thác thành công lỗ hổng CVE-2025-62221 có thể cho phép kẻ tấn công nâng cao quyền hạn lên cấp hệ thống trên các thiết bị Windows. Công ty cho biết họ đã ghi nhận lỗ hổng này đang bị khai thác, tuy nhiên chưa cung cấp thông tin chi tiết về các cuộc tấn công đã xảy ra.

Bên cạnh đó, một lỗ hổng khác trong Cloud Files Mini Filter Driver có tên mã CVE-2025-62454 và ghi nhận số điểm CVSS là 7,8. Microsoft cảnh báo rằng lỗ hổng này cũng có khả năng bị khai thác để leo thang đặc quyền trên hệ thống.

Nhiều lỗ hổng Windows khác được khắc phục

Bản cập nhật Patch Tuesday tháng 12.2025 cũng khắc phục hai lỗ hổng chèn lệnh dẫn đến thực thi mã từ xa, được phát hiện trong Copilot cho Jetbrains (CVE-2025-64671) và PowerShell (CVE-2025-54100). Mặc dù cả hai vấn đề này đã được công bố trước khi bản vá được phát hành, Microsoft cho biết chúng ít có khả năng bị khai thác trong các cuộc tấn công, mặc dù có bằng chứng về việc CVE-2025-64671 đã bị nhắm đến.

Ngoài ra, bản cập nhật cũng khắc phục 13 lỗ hổng trong bộ Office, trong đó có hai lỗ hổng được đánh giá là "nghiêm trọng" với điểm CVSS là 8,4. Hai lỗ hổng này, mã CVE-2025-62554 và CVE-2025-62557, liên quan đến lỗi nhầm lẫn kiểu dữ liệu và lỗi sử dụng bộ nhớ sau khi đã giải phóng, từ đó cho phép kẻ tấn công có thể thực thi mã từ xa.

Theo Microsoft, những kẻ tấn công có thể sử dụng kỹ thuật xã hội để thuyết phục người dùng nhấp vào các liên kết độc hại, thậm chí trong một số trường hợp, chúng chỉ cần gửi email được soạn thảo đặc biệt mà không cần nạn nhân mở hay nhấp vào liên kết.

Các sản phẩm khác của Microsoft, bao gồm Visual Studio, Azure Monitor Agent, Hyper-V, Edge cho iOS và Application Information Service, cũng nhận được bản sửa lỗi trong đợt cập nhật này. Được biết, trong năm 2025, Microsoft đã phát hành bản vá cho khoảng 1.200 lỗ hổng bảo mật, đánh dấu năm thứ hai liên tiếp công ty xử lý hơn 1.000 lỗ hổng.

Nguồn Thanh Niên: https://thanhnien.vn/hang-trieu-thiet-bi-windows-can-cap-nhat-he-thong-ngay-lap-tuc-185251210141757655.htm
Microsoft
Patch Tuesday
Bản vá bảo mật
lỗ hổng an ninh
 
 
 
 
 
CÔNG TY CỔ PHẦN XÂY DỰNG SẢN XUẤT VÀ THƯƠNG MẠI ĐẠI SÀN
logo

Giấp phép đăng ký kinh doanh số 0103884103 do Sở Kế Hoạch & Đầu Tư Hà Nội cấp lần đầu ngày 29/06/2009.

Địa chỉ ĐKKD: Tầng 16, Tòa nhà 54A Nguyễn Chí Thanh, Phường Láng, Thành phố Hà Nội, Việt Nam

Email: info@daisan.vn

TRỤ SỞ HÀ NỘI

Địa chỉ 47 Nguyễn Tuân, Phường Thanh Xuân, Thành phố Hà Nội, Việt Nam.

Điện thoại  Điện thoại: 1900 98 98 36

Fax  Fax: 045625169

CHI NHÁNH HỒ CHÍ MINH

Địa chỉ 57/1c, Khu phố 1, Phường An Phú Đông, Quận 12, Thành phố Hồ Chí Minh

Điện thoại  Email: info@daisan.vn