Vá 114 lỗ hổng bảo mật
Microsoft chú trọng vào khía cạnh an ninh đã phát hành bản vá Patch Tuesday để giải quyết 114 lỗ hổng bảo mật trong các sản phẩm của mình. Trong đó, có 8 lỗ hổng được đánh giá ở mức độ nghiêm trọng, có khả năng cho phép tin tặc thực thi mã từ xa hoặc chiếm quyền kiểm soát thiết bị.
Cụ thể, 114 lỗ hổng được khắc phục trong bản vá Patch Tuesday tháng 1 bao gồm: 57 lỗ hổng leo thang đặc quyền; 21 lỗ hổng thực thi mã từ xa; 23 lỗ hổng tiết lộ thông tin; 02 lỗ hổng từ chối dịch vụ (DoS); 3 lỗ hổng vượt qua tính năng bảo mật (bypass); 3 lỗ hổng Tampering và 5 lỗ hổng giả mạo (spoofing). Số lượng này không bao gồm các lỗ hổng Mariner và Microsoft Edge đã được khắc phục sớm vào đầu tháng.
Trong bản vá tháng này, Micrsoft cũng đã khắc phục 01 lỗ hổng đang bị khai thác tích cực. Được theo dõi với mã định danh CVE-2026-20805, việc để lộ thông tin nhạy cảm cho tác nhân đe dọa được ủy quyền trong Desktop Windows Manager, cho phép kẻ tấn công có thể rò rỉ thông tin cục bộ. Theo Microsoft, khai thác thành công lỗ hổng này cho phép tin tặc có thể đọc được các địa chỉ bộ nhớ liên kết với cổng ALPC từ xa.
Hai lỗ hổng zero-day tiết lộ công khai chú ý khác, đầu tiên là CVE-2026-21265, một lỗ hổng bypass hết hạn chứng thư số Secure Boot. Microsoft cảnh báo rằng các chứng thư số Windows Secure Boot được cấp năm 2011 sắp hết hạn và các hệ thống không được cập nhật sẽ có nguy cơ bị tin tặc bypass Secure Boot cao hơn.
Lỗ hổng zero-day thứ hai được khắc phục là CVE-2023-31096, một lỗ hổng leo thang đặc quyền Windows Agere Soft Modem Driver. “Microsoft nhận thức được các lỗ hổng trong Agere Soft Modem driver của bên thứ ba tích hợp sẵn trong các hệ điều hành Windows được hỗ trợ. Chúng tôi đã loại bỏ driver agrsm64.sys và agrsm.sys trong bản vá Patch Tuesday tháng này”, gã khổng lồ công nghệ cho biết.
Các chuyên gia công nghệ khuyến nghị người dùng nên sớm kiểm tra và cài đặt bản cập nhật này thông qua mục Windows Update trong phần cài đặt. Việc nâng cấp kịp thời không chỉ mang lại trải nghiệm mượt mà hơn mà còn đảm bảo dữ liệu cá nhân được bảo vệ trước các mối đe dọa an ninh mạng ngày càng tinh vi.
Khắc phục lỗ hổng trong Adobe
Bên cạnh đó, cũng trong tháng 01, Adobe đã công bố 11 bản tin bảo mật để khắc phục 25 lỗ hổng trong các sản phẩm của hãng, bao gồm Adobe DreamWeaver, Adobe InDesign, Adobe Illustrator, Adobe InCopy, Adobe Bridge, Adobe Substance 3D Modeler, Adobe Substance 3D Painter, Adobe Substance 3D Sampler, Adobe Coldfusion và Adobe Substance 3D Designer.
Lỗ hổng nghiêm trọng nhất là CVE-2025-66516 (điểm CVSS: 10/10), một lỗi tấn công chèn thực thể XML bên ngoài (XXE) trong các mô-đun Apache Tika, có thể bị khai thác thông qua các tệp XFA được đặt bên trong tệp PDF. Lỗ hổng này đã được khắc phục trong ColdFusion 2025 Update 6 và ColdFusion 2023 Update 18. Adobe đã xếp hạng priority là “1” cho bản cập nhật bảo mật này, khuyến cáo người dùng nên cập nhật càng sớm càng tốt.
Một sản phẩm khác của Adobe đã được vá trong tháng này là Dreamweaver. Theo đó, bản cập nhật bảo mật giải quyết 5 lỗ hổng nghiêm trọng, trong đó bốn lỗ hổng dẫn đến thực thi mã tùy ý và một lỗ hổng dẫn đến ghi tệp hệ thống tùy ý. Ngoài ra, Adobe cũng đã phát hành các bản vá lỗi cho một lỗ hổng bảo mật mức độ trung bình trong Substance 3D Designer, cảnh báo rằng nó có thể dẫn đến rò rỉ bộ nhớ.
Tất cả các cảnh báo còn lại đều có mức độ priority là “3”, vì các vấn đề đã được giải quyết trong các sản phẩm chưa từng bị nhắm mục tiêu trong các cuộc tấn công trước đây.
Công ty không đề cập đến việc bất kỳ lỗ hổng nào trong số này bị khai thác trên thực tế. Thông tin bổ sung có thể được tìm thấy trên trang thông báo bảo mật của Adobe.
Khắc phục các lỗ hổng bảo mật của SAP
Ở một động thái khác, SAP thông báo phát hành bản vá Patch Tuesday nhằm khắc phục 17 lỗ hổng bảo mật của hãng. Đáng chú ý nhất là CVE-2026-0501 (điểm CVSS: 9.9), một lỗi SQL injection trong S/4HANA. Vấn đề này ảnh hưởng đến một mô-đun hỗ trợ gọi hàm từ xa (Remote Function Call) dựa trên khung ABAP Database Connectivity (ADBC) để thực thi câu lệnh SQL gốc - theo giải thích của Onapsis, công ty đã phát hiện và báo cáo lỗi. “Câu lệnh SQL này được cung cấp thông qua một tham số đầu vào và cho phép kẻ tấn công thực thi các lệnh SQL tùy ý. Nếu khai thác thành công, hệ thống có thể bị xâm phạm hoàn toàn”, công ty bảo mật cho biết.
Lỗ hổng nghiêm trọng thứ hai mà SAP đã khắc phục là CVE-2026-0500 (điểm CVSS: 9.6), một lỗi thực thi mà từ xa trong Wily Introscope Enterprise Manager. Theo Onapsis, ứng dụng này cho phép kẻ tấn công không cần xác thực tạo ra các tệp JNLP (Java Network Launch Protocol) độc hại có thể truy cập được thông qua URL. Khi nạn nhân nhấp vào URL như vậy, máy chủ Wily Introscope sẽ thực thi các lệnh trên ứng dụng của nạn nhân, ảnh hưởng đến tính bảo mật, tính toàn vẹn và tính khả dụng của ứng dụng.
Bên cạnh đó, trong tháng 01, SAP đã phát hành bốn bản ghi chú bảo mật liên quan đến các lỗ hổng nghiêm trọng trong cơ sở dữ liệu HANA, Application Server for ABAP and NetWeaver RFCSDK, Fiori App and NetWeaver Application Server ABAP và ABAP Platform. Việc khai thác thành công các lỗi này có thể cho phép kẻ tấn công tải lên nội dung được tạo ra đặc biệt để thực thi các lệnh tùy ý, leo thang đặc quyền do thiếu ủy quyền và lạm dụng mô-đun chức năng được kích hoạt từ xa để thực thi các thủ tục biểu mẫu. Chín ghi chú bảo mật khác của SAP giải quyết các lỗ hổng có mức độ trung bình và thấp trong các sản phẩm ERP Central Component và S/4HANA, NetWeaver, Business Connector, Supplier Relationship Management, Fiori App, Business Server Pages Application, Identity Management và NW AS Java UME User Mapping.
Các tổ chức được khuyến cáo nên xem xét các ghi chú bảo mật SAP mới nhất và áp dụng các bản vá càng sớm càng tốt, vì các ứng dụng SAP dễ bị tổn thương là mục tiêu hấp dẫn và tiềm tàng đối với các tác nhân đe dọa.
Theo https://www.laocai.gov.vn/