Microsoft tung bản vá Tuesday tháng 8/2025. vá 107 lỗ hổng, bao gồm 13 lỗi RCE nghiêm trọng
Microsoft vừa phát hành bản cập nhật bảo mật Patch Tuesday tháng 8/2025, khắc phục tổng cộng 107 lỗ hổng bảo mật, trong đó có 13 lỗ hổng được xếp loại nghiêm trọng (Critical), ảnh hưởng đến Windows, Office, Azure và nhiều sản phẩm khác. Hãng khuyến nghị người dùng cập nhật ngay lập tức.
Tháng này, 13 lỗ hổng Critical được xử lý – đây là nhóm rủi ro cao nhất vì có thể cho phép kẻ tấn công chiếm toàn quyền kiểm soát hệ thống, đánh cắp dữ liệu nhạy cảm hoặc làm gián đoạn dịch vụ mà không cần sự tương tác từ người dùng.
Phần lớn các bản vá Critical tập trung vào lỗ hổng thực thi mã từ xa (RCE) – dạng nguy hiểm nhất vì cho phép kẻ tấn công chạy mã tùy ý trên hệ thống bị xâm nhập. Một số điểm đáng chú ý:
Và lỗ hổng rò rỉ thông tin quan trọng:
Bên cạnh Critical, Microsoft xử lý 76 lỗ hổng mức Important, gồm EoP, RCE, từ chối dịch vụ (DoS), rò rỉ thông tin, giả mạo (Spoofing).
Nhiều lỗi xuất phát từ use-after-free, tràn bộ đệm heap, và kiểm tra đầu vào không đúng, đặc biệt trong các thành phần cũ như Win32k và Ancillary Function Drivers, cho thấy thách thức trong bảo mật mã nền tảng cũ.
Bản vá tháng này có 1 lỗ hổng zero-day đã công khai, nhưng Microsoft cho biết chưa có bằng chứng bị khai thác thực tế tính đến ngày 12/8/2025.
Các bản vá ảnh hưởng đến: Windows, Office, Azure, Exchange Server, SQL Server, Hyper-V, Edge (Chromium).
Riêng Edge (Chromium) được vá 10 lỗi, gồm nhiều lỗi “use-after-free” trong Cast, Extensions và lỗi triển khai sai trong Picture-in-Picture, Filesystems.
Bắt đầu từ bản cập nhật không bảo mật tháng 8/2025, Windows PowerShell 2.0 sẽ bị loại bỏ khỏi Windows 11 24H2 và khỏi Windows Server 2025 từ bản vá bảo mật tháng 9/2025.
Trey Ford (Bugcrowd) nhận xét: “Patch Tuesday ngay sau Black Hat luôn ‘nóng’, và bản vá Kerberos lần này đặc biệt đáng chú ý vì sẽ được trình bày chi tiết tại SecTor cuối tháng 9/2025. Những phát hiện như thế cho thấy tầm quan trọng của đa dạng góc nhìn và thử nghiệm trong thiết kế, phát hành tính năng – sức mạnh của cộng đồng bảo mật toàn cầu giúp đảm bảo tính hiệu quả và khả năng chống chịu của các tính năng bảo mật mới.”
Nếu bạn đang sử dụng Windows, bản cập nhật sẽ xuất hiện trong Windows Update hôm nay hoặc ngày mai. Microsoft khuyến cáo nên cài đặt ngay để giảm thiểu nguy cơ bị khai thác.
Các lỗ hổng nghiêm trọng
Tháng này, 13 lỗ hổng Critical được xử lý – đây là nhóm rủi ro cao nhất vì có thể cho phép kẻ tấn công chiếm toàn quyền kiểm soát hệ thống, đánh cắp dữ liệu nhạy cảm hoặc làm gián đoạn dịch vụ mà không cần sự tương tác từ người dùng.
Phần lớn các bản vá Critical tập trung vào lỗ hổng thực thi mã từ xa (RCE) – dạng nguy hiểm nhất vì cho phép kẻ tấn công chạy mã tùy ý trên hệ thống bị xâm nhập. Một số điểm đáng chú ý:
- Windows Graphics Component (CVE-2025-50165)
Lỗ hổng RCE nghiêm trọng cho phép kẻ tấn công chưa được xác thực thực thi mã qua mạng bằng cách khai thác lỗi “untrusted pointer dereference”. - DirectX Graphics Kernel (CVE-2025-50176)
Lỗi “type confusion” cho phép kẻ tấn công đã xác thực thực thi mã cục bộ, có thể không cần quyền nâng cao. - Microsoft Message Queuing – MSMQ (CVE-2025-50177)
Lỗi “use-after-free” cho phép tấn công RCE từ xa, dù việc khai thác thành công đòi hỏi thắng điều kiện “race condition”. - Microsoft Office & Word (CVE-2025-53731, CVE-2025-53740, CVE-2025-53733, CVE-2025-53784)
Nhiều lỗi “use-after-free” và các vấn đề khác cho phép RCE khi người dùng mở tệp Office/Word độc hại. - GDI+ (CVE-2025-53766)
Lỗi tràn bộ đệm trên heap có thể cho phép RCE mà không cần xác thực. - Windows Hyper-V (CVE-2025-48807)
Lỗi hạn chế sai kênh giao tiếp có thể cho phép thực thi mã cục bộ trong môi trường ảo hóa, đe dọa an toàn máy ảo.
- Windows NTLM (CVE-2025-53778) – Lỗi xác thực sai có thể cho phép kẻ tấn công nâng quyền lên SYSTEM qua mạng.
Và lỗ hổng rò rỉ thông tin quan trọng:
- Azure Virtual Machines (CVE-2025-53781) – Rò rỉ dữ liệu nhạy cảm.
- Azure Stack Hub (CVE-2025-53793) – Rò rỉ dữ liệu cho tác nhân trái phép.
Các bản vá mức “Important” và mẫu tấn công phổ biến
Bên cạnh Critical, Microsoft xử lý 76 lỗ hổng mức Important, gồm EoP, RCE, từ chối dịch vụ (DoS), rò rỉ thông tin, giả mạo (Spoofing).
- 40 lỗ hổng EoP (38 Important)
- 35 lỗ hổng RCE (26 Important)
- Lỗi RCE trong Excel (CVE-2025-53741, -53759, -53737, -53739) – tràn bộ đệm heap, use-after-free.
- Lỗi tràn bộ đệm heap trong Windows RRAS (CVE-2025-49757, -50160, -50162, -50163, -50164, -53720).
- Lỗi RCE trong PowerPoint (CVE-2025-53761).
- Lỗi EoP trong SQL Server (CVE-2025-49758 – SQL Injection) và SharePoint (CVE-2025-53760).
Lỗi mức thấp hơn
- 2 lỗ hổng Moderate, gồm CVE-2025-53779 (Windows Kerberos – path traversal cho EoP).
- 1 lỗ hổng Low – Spoofing trong Microsoft Edge cho Android (CVE-2025-49755).
Nhiều lỗi xuất phát từ use-after-free, tràn bộ đệm heap, và kiểm tra đầu vào không đúng, đặc biệt trong các thành phần cũ như Win32k và Ancillary Function Drivers, cho thấy thách thức trong bảo mật mã nền tảng cũ.
Zero-day công bố công khai
Bản vá tháng này có 1 lỗ hổng zero-day đã công khai, nhưng Microsoft cho biết chưa có bằng chứng bị khai thác thực tế tính đến ngày 12/8/2025.
Phạm vi sản phẩm được cập nhật
Các bản vá ảnh hưởng đến: Windows, Office, Azure, Exchange Server, SQL Server, Hyper-V, Edge (Chromium).
Riêng Edge (Chromium) được vá 10 lỗi, gồm nhiều lỗi “use-after-free” trong Cast, Extensions và lỗi triển khai sai trong Picture-in-Picture, Filesystems.
Thống kê lỗ hổng theo loại và mức độ
| Loại lỗ hổng | Critical | Important | Moderate | Low | Tổng |
|---|---|---|---|---|---|
| Remote Code Execution | 9 | 26 | 0 | 0 | 35 |
| Elevation of Privilege | 1 | 38 | 1 | 0 | 40 |
| Information Disclosure | 2 | 14 | 0 | 0 | 16 |
| Spoofing | 1 | 7 | 1 | 1 | 10 |
| Denial of Service | 0 | 5 | 0 | 0 | 5 |
| Tampering | 0 | 1 | 0 | 0 | 1 |
| Tổng | 13 | 91 | 2 | 1 | 107 |
Loại bỏ Windows PowerShell 2.0
Bắt đầu từ bản cập nhật không bảo mật tháng 8/2025, Windows PowerShell 2.0 sẽ bị loại bỏ khỏi Windows 11 24H2 và khỏi Windows Server 2025 từ bản vá bảo mật tháng 9/2025.
Trey Ford (Bugcrowd) nhận xét: “Patch Tuesday ngay sau Black Hat luôn ‘nóng’, và bản vá Kerberos lần này đặc biệt đáng chú ý vì sẽ được trình bày chi tiết tại SecTor cuối tháng 9/2025. Những phát hiện như thế cho thấy tầm quan trọng của đa dạng góc nhìn và thử nghiệm trong thiết kế, phát hành tính năng – sức mạnh của cộng đồng bảo mật toàn cầu giúp đảm bảo tính hiệu quả và khả năng chống chịu của các tính năng bảo mật mới.”
Nếu bạn đang sử dụng Windows, bản cập nhật sẽ xuất hiện trong Windows Update hôm nay hoặc ngày mai. Microsoft khuyến cáo nên cài đặt ngay để giảm thiểu nguy cơ bị khai thác.
BÀI MỚI ĐANG THẢO LUẬN