Microsoft vá gần 200 lỗ hổng bảo mật, bao gồm lỗi BitLocker và tấn công từ chối dịch vụ
Microsoft vừa phát hành bản cập nhật bảo mật tháng 6/2026, khắc phục khoảng 200 lỗ hổng trên các sản phẩm của mình. Ba trong số các lỗ hổng này đã bị công khai trước khi được vá, bao gồm một lỗi bỏ qua bảo mật BitLocker và một lỗ hổng gây từ chối dịch vụ (DoS) ảnh hưởng đến Windows.
Microsoft đã phát hành bản cập nhật Patch Tuesday tháng 6 năm 2026, giải quyết khoảng 200 lỗ hổng bảo mật được phát hiện trong các sản phẩm của công ty. Mặc dù chưa có lỗ hổng nào được xác nhận là đang bị khai thác thực tế trong tự nhiên (in the wild) vào thời điểm này, nhưng ba vấn đề đã bị công khai rộng rãi trước khi Microsoft tung ra bản vá.
Microsoft Security
Các lỗ hổng đã bị công khai
Một trong những lỗ hổng đáng chú ý nhất là CVE-2026-49160, được mô tả là vấn đề từ chối dịch vụ (DoS) ảnh hưởng đến Windows. Lỗ hổng này liên quan đến kỹ thuật tấn công HTTP2/Bomb, có khả năng ảnh hưởng đến hàng trăm nghìn trang web và có thể khiến máy chủ web bị sập chỉ trong vài giây.
Lỗ hổng thứ hai là CVE-2026-50507, một lỗi bỏ qua bảo mật Windows BitLocker. Kẻ tấn công có quyền truy cập vật lý vào hệ thống mục tiêu có thể khai thác lỗi này để truy cập vào dữ liệu đã mã hóa. Lỗ hổng này có thể liên quan đến YellowKey, một trong số các khai thác được phát hành bởi một nhà nghiên cứu có biệt danh là Chaotic Eclipse và Nightmare Eclipse. Người này đã bắt đầu rò rỉ mã khái niệm (PoC) sau một bất đồng với Microsoft.
Lỗ hổng thứ ba được công khai là CVE-2026-45586, một lỗi trong Windows Collaborative Translation Framework có thể được khai thác để leo thang đặc quyền lên mức System. Một nhà nghiên cứu ẩn danh đã báo cáo điểm yếu này cho nhà cung cấp.
Tất cả ba vấn đề đã công khai đều được Microsoft đánh giá là "khả năng bị khai thác cao".
Các lỗ hổng nghiêm trọng khác
Gần 40 trong số khoảng 200 lỗ hổng bảo mật được giải quyết trong tháng này có mức độ nghiêm trọng là "Critical" (Nghiêm trọng). Chúng ảnh hưởng đến Windows, Azure, Office, Outlook, Exchange và các công cụ AI. Việc khai thác các lỗi này có thể dẫn đến thực thi mã từ xa, leo thang đặc quyền và lộ thông tin.
Security
Ngoài các lỗ hổng đặc thù của sản phẩm Microsoft, gã khổng lồ công nghệ này cũng đã công bố các tư vấn bảo mật cho 360 vấn đề ảnh hưởng đến các thành phần của bên thứ ba được phần mềm của họ sử dụng.
Trong một diễn biến liên quan, Adobe cũng đã phát hành bản cập nhật Patch Tuesday mới nhất, khắc phục hơn 120 lỗ hổng bảo mật.
Người dùng và quản trị viên hệ thống được khuyến nghị cập nhật ngay lập tức để bảo vệ hệ thống trước các rủi ro tiềm ẩn.