Đợt cập nhật bảo mật lớn tháng này xử lý gần 60 lỗ hổng trên nhiều sản phẩm và dịch vụ khác nhau của Microsoft.

Nội dung chính

• Microsoft phát hành bản vá cho 58 lỗ hổng bảo mật mới.

• Có 6 lỗ hổng zero-day đang bị khai thác ngoài thực tế.

• 5 lỗ hổng được phân loại ở mức nghiêm trọng (critical).

• Người dùng nên cập nhật ngay lập tức.

Hôm qua, ngày 10 tháng 2, là Patch Tuesday. Microsoft đã phát hành các bản cập nhật bảo mật để khắc phục 58 lỗ hổng bảo mật mới.

Ngoài Windows và Office, các sản phẩm bị ảnh hưởng còn có Exchange Server, Internet Explorer, Azure và Windows Subsystem for Linux (WSL). Sáu lỗ hổng zero-day đã bị khai thác ngoài thực tế, và năm lỗ hổng được phân loại là nghiêm trọng.

Patch Tuesday tiếp theo dự kiến diễn ra vào ngày 10 tháng 3 năm 2026.

Cập nhật Microsoft Windows

Trong số các lỗ hổng được vá, có 31 lỗ hổng liên quan đến các phiên bản Windows khác nhau (Windows 10, 11 và Windows Server) vẫn còn được Microsoft hỗ trợ cập nhật bảo mật. Windows 10 vẫn nằm trong danh sách hệ thống bị ảnh hưởng dù hỗ trợ chính thức đã kết thúc vào tháng 10.

Hai lỗ hổng zero-day của Windows đã được công khai và đang bị khai thác. Cả hai đều là lỗ hổng vượt qua tính năng bảo mật (Security Feature Bypass - SFB).

Lỗ hổng CVE-2026-21510 trong Windows Shell cho phép kẻ tấn công vượt qua SmartScreen và các kiểm tra bảo mật của Shell để thực thi mã tùy ý. Người dùng chỉ cần mở một shortcut độc hại là mã có thể được thực thi.

Ai nghĩ rằng Internet Explorer đã biến mất thì nhầm. Trình duyệt này vẫn tồn tại trong mọi phiên bản Windows vì nhiều chương trình vẫn phụ thuộc vào một số chức năng của IE. Lỗ hổng SFB CVE-2026-21513 cho phép kẻ tấn công vượt qua kiểm tra bảo mật và truy cập trái phép.

Lỗ hổng CVE-2026-21519 trong Desktop Window Manager (DWM) là lỗ hổng DWM thứ hai trong năm nay bị khai thác. Kẻ tấn công có thể nâng cao đặc quyền và thực thi mã với quyền hệ thống. Điều này thường được kết hợp với một lỗ hổng thực thi mã từ xa (RCE).

CVE-2026-21533 là lỗ hổng nâng cao đặc quyền (Elevation of Privilege - EoP) trong Remote Desktop Service. Mặc dù liên quan đến dịch vụ Remote Desktop, lỗ hổng này được khai thác cục bộ để giành quyền cao hơn. Nếu thành công, kẻ tấn công có thể thực thi mã với quyền hệ thống. Các máy tính chạy dịch vụ này có thể trở thành mục tiêu trung gian để di chuyển ngang trong mạng sau khi bị xâm nhập.

Lỗ hổng zero-day cuối cùng là CVE-2026-21525, một lỗ hổng từ chối dịch vụ (DoS) trong Remote Access Connection Manager. Kẻ tấn công có thể làm sập dịch vụ này. Nếu dịch vụ không tự khởi động lại, quản trị viên có thể bị cản trở trong việc truy cập từ xa để khắc phục. Tuy nhiên, lỗ hổng DoS thường ít được dùng trong các kịch bản tấn công phức tạp.

Cập nhật Microsoft Office

Microsoft đã vá sáu lỗ hổng trong bộ Office, tất cả đều được xếp loại rủi ro cao. Thoạt nhìn không có lỗ hổng thực thi mã từ xa (RCE).

Tuy nhiên, lỗ hổng Word CVE-2026-21514, được phân loại là zero-day và SFB, có thể được sử dụng để chèn và thực thi mã. Cửa sổ preview không phải là vector tấn công trong trường hợp này — người dùng phải mở tệp Office được chuẩn bị sẵn bằng Word để kích hoạt tấn công.

Cập nhật Microsoft Azure

Tháng này không có lỗ hổng nghiêm trọng ảnh hưởng đến máy tính để bàn hoặc máy chủ nội bộ, nhưng có năm lỗ hổng nghiêm trọng liên quan đến nền tảng đám mây Azure.

Microsoft đã vá ba lỗ hổng và đang hoàn tất tài liệu. Hai lỗ hổng ảnh hưởng đến các container ACI bảo mật (Azure Container Instances) và yêu cầu người dùng thực hiện hành động để bảo vệ hệ thống.

Cập nhật Microsoft Edge

Bản cập nhật Edge mới nhất 144.0.3719.115 (ngày 5/2) dựa trên Chromium 144.0.7559.133, khắc phục hai lỗ hổng Chromium. Tuy nhiên, Google đã phát hành Chrome và Chromium 145, vì vậy một bản cập nhật Edge tương ứng dự kiến sẽ ra mắt vào cuối tuần này.

Microsoft cũng đã vá lỗ hổng giả mạo (spoofing) CVE-2026-0391 trong Edge 143 dành cho Android. Lỗi này đã được khắc phục từ tháng 12 nhưng chỉ mới được công bố tài liệu chính thức.

Bài viết này ban đầu xuất hiện trên ấn phẩm chị em PC-WELT và đã được dịch và bản địa hóa từ tiếng Đức.