Bản cập nhật lớn tháng 8 khắc phục hàng tá lỗ hổng bảo mật trong Windows và Office

Tác giả tanthanh 21/01/2026 9 phút đọc

Hôm qua là Patch Tuesday cho tháng 9, và Microsoft đã cung cấp các bản cập nhật bảo mật nhằm giải quyết 80 lỗ hổng mới.

Microsoft đã phân loại 8 lỗ hổng trong Windows và Office là nghiêm trọng, nhưng chưa có lỗ hổng nào trong số đó bị khai thác để tấn công tự nhiên. Đáng buồn thay, Microsoft cung cấp chi tiết thưa thớt về các lỗ hổng bảo mật để tự tìm kiếm trong Hướng dẫn cập nhật bảo mật.

Bản vá thứ Ba tiếp theo dự kiến diễn ra vào ngày 14 tháng 10 năm 2025. Đó cũng là ngày được chờ đợi từ lâu của Windows 10’s kết thúc hỗ tr. Đừng đợi đến khi quá muộn! Học gi các lựa chọn của bạn đang tiến lên phía trước.

Lỗ hổng nghiêm trọng của Windows

Một số lượng lớn các lỗ hổng—58 this time—are trải rộng trên nhiều phiên bản Windows khác nhau mà Microsoft vẫn cung cấp các bản cập nhật bảo mật: Windows 10, Windows 11 và Windows Server.

Windows 7 và 8.1 không còn nhận được các bản cập nhật bảo mật, vì vậy chúng vẫn dễ bị tấn công hơn bao giờ hết. Nếu bạn vẫn còn trên các phiên bản này và yêu cầu hệ thống của bạn cho phép nó, bạn nên chuyển sang Windows 11 càng sớm càng tốt để tiếp tục nhận được các bản cập nhật bảo mật.

Microsoft đã phân loại 7 lỗ hổng bảo mật trong Windows là nghiêm trọng, bao gồm bốn lỗ hổng thực thi mã từ xa (RCE). Năm trong số những lỗ hổng nghiêm trọng này nằm trong các thành phần đồ họa. Nó có thể đủ để mở một tập tin hình ảnh bị nhiễm (giả sử, được tải từ một trang web) để thực thi mã độc. Các CVE-2025-53799 lỗ hổng rò rỉ dữ liệu nổi bật vì việc khai thác nó chỉ có thể làm lộ một phần nhỏ bộ nhớ làm việc. Vẫn chưa rõ tại sao điều này lại được coi là quan trọng.

Microsoft cũng đã sửa 5 lỗ hổng bảo mật trong Hyper-V, một trong số đó (CVE-2025-55224) được phân loại là quan trọng. Những vấn đề khác là lỗ hổng nâng cao đặc quyền (EOP). CVE-2025-54918 trong NT LAN Manager cũng là một lỗ hổng EOP được phân loại là nghiêm trọng. Kẻ tấn công có quyền người dùng có thể có được ủy quyền hệ thống thông qua mạng và nó đủ đơn giản để nó có thể được sử dụng như một phần của cuộc tấn công được nhắm mục tiêu.

Các lỗ hổng Windows khác

Lỗ hổng có điểm dễ bị tổn thương cao nhất là CVE-2025-55232 trong Gói tính toán hiệu năng cao (HPC). Kẻ tấn công có thể tiêm mã từ xa mà không cần tài khoản người dùng và tự thực thi mã đó. Điều này làm cho lỗ hổng có khả năng bị lỗi trong mạng HPC. Theo quy định, nó chỉ ảnh hưởng đến các cụm máy tính hiệu suất cao đã được bảo mật. Microsoft khuyên bạn nên chặn cổng TCP 5999.

Microsoft đã loại bỏ 10 lỗ hổng trong Dịch vụ định tuyến và truy cập từ xa (RRAS) trong tháng này, so với 12 lỗ hổng trong tháng trước. Lần này chỉ có hai lỗ hổng RCE, còn lại là rò rỉ dữ liệu. Tất cả đều được phân loại là có nguy cơ cao. Trong dịch vụ Windows Firewall, Microsoft đã sửa 6 lỗ hổng EOP được coi là có rủi ro cao. Kẻ tấn công có quyền người dùng có thể sử dụng những quyền này để lấy được ủy quyền của tài khoản hệ thống cục bộ nhằm thực thi mã độc.

Lỗ hổng văn phòng quan trọng

Microsoft đã sửa 16 lỗ hổng trong dòng sản phẩm Office của mình, bao gồm 12 lỗ hổng thực thi mã từ xa (RCE). Một trong những lỗ hổng RCE này (CVE-2025-54910) được dán nhãn là quan trọng vì cửa sổ xem trước được coi là vectơ tấn công. Điều này có nghĩa là một cuộc tấn công có thể xảy ra đơn giản bằng cách hiển thị một tệp bị nhiễm trong bản xem trước, ngay cả khi người dùng không nhấp vào nó hoặc mở nó.

Microsoft phân loại các lỗ hổng Office khác là rủi ro cao. Ở đây, người dùng phải mở tệp bị nhiễm để mã khai thác có hiệu lực (“open to own”). Có 8 lỗ hổng RCE cố định chỉ trong Excel.

Cập nhật bảo mật trình duyệt

Bản cập nhật bảo mật mới nhất cho Edge 140.0.3485.54 được phát hành vào ngày 5 tháng 9 và dựa trên Chromium 140.0.7339.81. Nó sửa chữa một số lỗ hổng Chromium cũng như một lỗ hổng dành riêng cho Edge. Google kể từ đó đã phát hành một bản cập nhật bảo mật mới, mà Microsoft sẽ phải phản hồi vào cuối tuần này.