Microsoft vá 137 lỗ hổng bảo mật, bao gồm lỗi nghiêm trọng trong Azure và Windows

Vào thứ Ba vừa qua, Microsoft đã công bố việc khắc phục tổng cộng 137 lỗ hổng bảo mật trên các sản phẩm của mình. Tuy nhiên, đáng chú ý là chưa có lỗ hổng nào trong số này được phát hiện đang bị tin tặc khai thác thực tế trong tự nhiên (in the wild).

Cập nhật bảo mật Windows

Khoảng một chục lỗi trong số các bản vá cập nhật Patch Tuesday lần này được đánh giá là "khả năng bị khai thác cao". Điều này cho thấy các tác nhân đe dọa có thể bắt đầu lợi dụng chúng để tiến hành các cuộc tấn công trong tương lai gần.

Lỗ hổng nghiêm trọng nhất

Lỗi nghiêm trọng nhất được sửa trong đợt này là CVE-2026-41103, một lỗ hổng mức độ nghiêm trọng (critical) nằm trong Plugin SSO của Microsoft dành cho Jira & Confluence. Lỗi này có thể dẫn đến việc leo thang đặc quyền (elevation of privilege). Nguyên nhân gốc rễ của vấn đề nằm ở việc triển khai sai thuật toán xác thực.

Ngoài ra, Microsoft cũng cảnh báo về các vấn đề leo thang đặc quyền mức độ nghiêm trọng cao (high-severity) trong Windows Remote Desktop, Trình điều khiển Hệ thống tệp nhật ký chung của Windows (Common Log File System Driver), Nhân Windows (Windows Kernel), Azure AI Foundry, Windows Win32k và nhiều thành phần khác. Các lỗi này cũng có nguy cơ bị khai thác cao.

Nguy cơ từ Microsoft Word

Công ty cũng chỉ ra hai lỗi thực thi mã từ xa (remote code execution - RCE) mức độ nghiêm trọng cao trong Microsoft Word (mã CVE-2026-40364 và CVE-2026-40361, điểm CVSS là 8.4) có khả năng bị khai thác lớn. Lỗi đầu tiên là vấn đề nhầm lẫn kiểu (type confusion), trong khi lỗi thứ hai là lỗi sử dụng sau khi giải phóng (use-after-free).

Bảo mật mạng

"Những lỗ hổng này có thể bị kẻ tấn công khai thác bằng cách gửi một tài liệu độc hại đến mục tiêu," Satnam Narang, kỹ sư nghiên cứu cao cấp tại Tenable cho biết.

Ông nhấn mạnh thêm: "Điểm chung của các lỗ hổng này là nạn nhân thậm chí không cần mở tài liệu để kích hoạt khai thác. Việc khai thác hoàn toàn có thể xảy ra chỉ khi xem tài liệu độc hại trong khung Xem trước (Preview Pane). Do đó, việc cập nhật bản vá là cách đáng tin cậy nhất để bảo vệ chống lại các lỗi như vậy."

Hai lỗ hổng nghiêm trọng khác của Word cũng đã được khắc phục trong tháng này, nhưng Microsoft đánh giá chúng ít có khả năng hoặc khó có khả năng bị khai thác. Tổng cộng có hơn hai chục lỗ hổng đã được khắc phục trong bộ Office.

Các bản vá quan trọng khác

Vào thứ Ba, Microsoft cũng tung ra các bản sửa lỗi cho các lỗi mức độ nghiêm trọng trong Dynamics 365 (phiên bản tại chỗ), Azure Logic Apps, Windows DNS, Windows Netlogon, Windows Hyper-V và Azure SDK.

Các bản cập nhật bảo mật cũng giải quyết các lỗi mức độ nghiêm trọng cao trong Copilot, .NET, các dịch vụ Azure, nhân Windows và trình điều khiển chế độ nhân, Win32K, LDAP, SQL Server, Edge, Visual Studio Code và các thành phần cũng như dịch vụ Windows khác.

Song song với đó, Adobe cũng đã phát hành các bản vá cho 52 lỗ hổng trên 10 sản phẩm, bao gồm một vài lỗi thực thi mã mức độ nghiêm trọng.