Microsoft đã sửa hơn 100 lỗi bảo mật trong Windows và Office trong tháng này

Tác giả tanthanh 23/01/2026 8 phút đọc

Hôm qua là Patch Tuesday cho Microsoft, có nghĩa là hàng tấn cập nhật bảo mật trên các sản phẩm và dịch vụ của công ty. Cụ thể, 107 lỗ hổng bảo mật mới đã được vá.

Microsoft phân loại một số lỗ hổng trong Windows và Office là nghiêm trọng, nhưng cũng nói rằng không có lỗ hổng nào hiện đang bị khai thác ngoài tự nhiên.

Tiếp tục đọc để biết tổng quan về các lỗi bảo mật đã sửa và cách chúng có thể ảnh hưởng đến bạn. Bản vá thứ Ba tiếp theo sẽ là ngày 9 tháng 9 năm 2025.

Cập nhật bảo mật cho Windows

Một số lượng lớn các lỗ hổng—67 this time—are trải rộng trên nhiều phiên bản Windows khác nhau mà Microsoft vẫn cung cấp các bản cập nhật bảo mật, cụ thể là Windows 10, Windows 11 và Windows Server.

Người dùng trên Windows 7 và Windows 8.1 đã không nhận được bản cập nhật bảo mật trong một thời gian khá lâu, vì vậy sẽ vẫn dễ bị tấn công. Nếu điều đó, bạn và các yêu cầu hệ thống của bạn cho phép, bạn nên nâng cấp lên Windows 11 24H2 để tiếp tục nhận được các bản cập nhật bảo mật.

Lỗ hổng nghiêm trọng của Windows

Microsoft đã xác định CVE-2025-53766, lỗ hổng thực thi mã từ xa (RCE) trong API Giao diện thiết bị đồ họa cho các ứng dụng đồ họa, cũng như CVE-2025-50165, một lỗ hổng RCE khác nhưng trong Thành phần Đồ họa Windows, là rất quan trọng. Việc truy cập vào một trang web được chuẩn bị đặc biệt là đủ để chèn và thực thi mã tùy ý mà không cần sự tương tác của người dùng. Với lỗ hổng thứ hai, kẻ tấn công chỉ cần tạo một hình ảnh để nhúng vào một trang web.

Microsoft đã phân loại ba lỗ hổng trong Hyper-V là nghiêm trọng. CVE-2025-48807 là một lỗ hổng RCE mà nếu bị khai thác sẽ có thể thực thi mã trên máy chủ từ hệ thống khách. CVE-2025-53781 là rò rỉ dữ liệu cho phép truy cập thông tin bí mật. CVE-2025-49707 là lỗ hổng giả mạo cho phép máy ảo giả mạo danh tính khác khi giao tiếp với các hệ thống bên ngoài.

Microsoft đã khắc phục 12 lỗ hổng trong Dịch vụ định tuyến và truy cập từ xa (RRAS), một nửa trong số đó là lỗ hổng RCE, nửa còn lại là rò rỉ dữ liệu. Tất cả đều được phân loại là có nguy cơ cao.

Lỗ hổng duy nhất được công bố trước đây trong Patch Tuesday này là CVE-2025-53779 trong Kerberos cho Windows Server 2025. Trong một số điều kiện nhất định, kẻ tấn công thành công có thể giành được quyền quản trị viên đối với tên miền. Microsoft phân loại nó chỉ là rủi ro trung bình.

Cập nhật bảo mật cho Office

Microsoft đã sửa 18 lỗ hổng trong dòng sản phẩm Office của mình, trong đó có 16 lỗ hổng RCE. Bốn trong số các lỗ hổng RCE này được dán nhãn là nghiêm trọng vì cửa sổ xem trước được coi là vectơ tấn công. Điều này có nghĩa là một cuộc tấn công có thể xảy ra thông qua một tệp được hiển thị trong bản xem trước, ngay cả khi người dùng không nhấp vào nó hoặc mở nó. Hai trong số các lỗ hổng này nằm trong Word.

Microsoft phân loại các lỗ hổng Office khác là rủi ro cao. Tại đây, người dùng phải mở một tệp đã chuẩn bị sẵn để mã khai thác có hiệu lực.

Cập nhật bảo mật cho trình duyệt Edge

Bản cập nhật bảo mật mới nhất cho Edge 139.0.3405.86 được phát hành vào ngày 7 tháng 8 và dựa trên Chromium 139.0.7258.67. Nó sửa chữa một số lỗ hổng trong cơ sở Chromium.

Edge cho Android 139.0.3405.86 mới hơn một chút và Microsoft đã cung cấp phiên bản này để thu hẹp hai khoảng trống dành riêng cho Edge.