Microsoft vá 134 lỗ hổng bảo mật, người dùng cần cập nhật ngay
Bản cập nhật Patch Tuesday tháng 4-2025 vừa được Microsoft phát hành, khắc phục tổng cộng 134 lỗ hổng bảo mật, đặc biệt có một lỗ hổng zero-day cực kì nguy hiểm.
134 lỗ hổng bảo mật được vá lỗi
Microsoft đang triển khai bản cập nhật bảo mật lớn nhất từ đầu năm đến nay, trong khuôn khổ chương trình vá lỗi Patch Tuesday diễn ra định kỳ vào thứ Ba của tuần thứ hai mỗi tháng.
Riêng đợt cập nhật tháng 4 năm 2025 này đã xử lý tổng cộng 134 lỗ hổng bảo mật ở các cấp độ, trải dài từ hệ điều hành Windows cho đến các dịch vụ và phần mềm phổ biến như Microsoft Office, Hyper-V hay trình duyệt Edge.
Bản cập nhật Patch Tuesday tháng 4-2025 khắc phục 134 lỗ hổng bảo mật.
Một trong những điểm đáng chú ý nhất là lỗ hổng zero-day mang mã định danh CVE-2025-29824, nằm trong thành phần Windows Common Log File System (CLFS). Đây là một lỗi nâng cao đặc quyền, có thể bị lợi dụng để chiếm quyền kiểm soát hệ thống ở mức cao nhất nếu kẻ tấn công có được quyền truy cập ban đầu vào thiết bị.
Theo Microsoft Threat Intelligence Center, lỗ hổng này đã bị khai thác thực tế bởi nhóm ransomware RansomEXX, vốn là một trong những nhóm chuyên thực hiện các cuộc tấn công mã độc tống tiền nhắm vào doanh nghiệp và tổ chức lớn trên toàn cầu.
Cùng với lỗ hổng zero-day, bản vá tháng này còn khắc phục hàng loạt vấn đề bảo mật khác. Tổng cộng có 49 lỗi liên quan đến việc nâng cao đặc quyền, 9 lỗi bỏ qua tính năng bảo mật, 31 lỗi cho phép thực thi mã từ xa, 17 lỗi tiết lộ thông tin, 14 lỗi gây từ chối dịch vụ và 3 lỗi giả mạo dữ liệu.
Trong số đó, 11 lỗ hổng thực thi mã từ xa được phân loại là nghiêm trọng, xuất hiện trong các thành phần quan trọng như Microsoft Office, Excel, Remote Desktop Gateway Service, nền tảng máy ảo Hyper-V, Windows LDAP và giao thức mạng TCP/IP.
Không chỉ dừng lại ở Windows và Office, đợt cập nhật này còn mở rộng sang hệ điều hành Mariner, nền tảng nội bộ dùng trong môi trường container của Microsoft, và trình duyệt Microsoft Edge với tổng cộng 13 lỗi được sửa.
Người dùng Windows cần làm gì?
Theo thông báo từ Microsoft, các bản vá đã được phát hành cho Windows 11 và Windows Server. Riêng với Windows 10, bản cập nhật bảo mật dành cho cả phiên bản 64 bit và 32 bit sẽ được thông báo đến người dùng trong thời gian tới.
Mặc dù hầu hết các bản vá Patch Tuesday đều được thiết bị Windows tự động tải và cài đặt, người dùng vẫn được khuyến nghị chủ động kiểm tra bằng cách truy cập Start - Settings - Windows Update - Check for updates để đảm bảo hệ thống của mình đã được cập nhật đầy đủ.
Đây là bước quan trọng nhằm bảo vệ thiết bị khỏi các cuộc tấn công mạng, nhất là khi một số lỗ hổng đã bị khai thác thực tế như trường hợp của CVE-2025-29824.
