Microsoft
Microsoft đã phát hành bản vá Patch Tuesday tháng 02/2026 để giải quyết 64 lỗ hổng bảo mật (5 lỗi nghiêm trọng), bao gồm 6 lỗ hổng zero-day đang bị khai thác tích cực.
Theo đó, bản vá Patch Tuesday tháng này khắc phục 25 lỗ hổng leo thang đặc quyền; 11 lỗ hổng thực thi mã từ xa; 6 lỗ hổng tiết lộ thông tin; 3 lỗ hổng từ chối dịch vụ (DoS); 5 lỗ hổng vượt qua tính năng bảo mật; 6 lỗ hổng giả mạo (Spoofing); 01 lỗ hổng XSS và 01 lỗ hổng Heap Based Overflow. Số lượng này không bao gồm 3 lỗ hổng Microsoft Edge đã được khắc phục sớm vào đầu tháng này.
Trong khuôn khổ các bản cập nhật tháng 2, Microsoft cũng đã bắt đầu triển khai các chứng thư số Secure Boot được cập nhật để thay thế các chứng thư năm 2011 sẽ hết hạn vào cuối tháng 6/2026.
Với 6 lỗ hổng zero-day đang bị khai thác tích cực đã được Microsoft giải quyết, đáng chú ý là CVE-2026-21510 - lỗ hổng vượt qua tính năng bảo mật trong Windows Shell Security Feature. “Để khai thác thành công lỗ hổng này, kẻ tấn công phải thuyết phục người dùng mở một liên kết hoặc tệp shortcut độc hại”, gã khổng lồ công nghệ giải thích.
Tin tặc có thể vượt qua các lời nhắc bảo mật của Windows SmartScreen và Windows Shell bằng cách khai thác việc xử lý không đúng cách trong các thành phần của Windows Shell, cho phép nội dung do tin tặc kiểm soát được thực thi mà không có cảnh báo hoặc sự đồng ý của người dùng. Mặc dù Microsoft chưa chia sẻ thêm chi tiết, nhưng nhiều khả năng lỗ hổng này cho phép kẻ tấn công vượt qua cảnh báo bảo mật của Mark of the Web (MoTW).
Adobe
Cũng trong tháng 2, Adobe đã công bố 9 bản tin bảo mật để khắc phục 44 lỗ hổng trong các sản phẩm của hãng (27 lỗi nghiêm trọng), bao gồm Audition, After Effects, InDesign Desktop, Substance 3D Designer, Substance 3D Stager, Substance 3D Modeler, Bridge, Lightroom Classic và DNG SDK.
Công ty đã xếp hạng mức độ nghiêm trọng cho hơn hai chục lỗ hổng có thể bị khai thác để thực thi mã tùy ý, tất cả đều được xếp hạng cao dựa trên điểm CVSS của chúng. Theo Adobe cho biết, các lỗi này ảnh hưởng đến Audition, After Effects, InDesign, Bridge, Lightroom Classic, DNG SDK và hai sản phẩm Substance 3D.
Các lỗ hổng còn lại ở mức độ trung bình, liên quan đến việc rò rỉ thông tin bộ nhớ và các vấn đề tấn công DoS. Các cảnh báo trong bản vá tháng này đều có mức độ priority là “3”, vì các vấn đề đã được giải quyết trong các sản phẩm chưa từng bị nhắm mục tiêu trong các cuộc tấn công trước đây.
Hãng không đề cập đến việc bất kỳ lỗ hổng nào trong số này bị khai thác trên thực tế. Thông tin bổ sung có thể được tìm thấy trên trang thông báo bảo mật của Adobe.
SAP
Ở một động thái khác, SAP thông báo phát hành bản vá Patch Tuesday nhằm khắc phục 27 lỗ hổng bảo mật. Nghiêm trọng nhất là CVE-2026-0488 (điểm CVSS: 9.9), một lỗi chèn mã trong CRM và S/4HANA. Lỗ hổng này ảnh hưởng đến thành phần Scripting Editor của ứng dụng và có thể bị kẻ tấn công đã xác thực khai thác để thực thi các câu lệnh SQL tùy ý. “Một cuộc tấn công thành công có thể dẫn đến việc toàn bộ cơ sở dữ liệu bị xâm phạm, gây ảnh hưởng nghiêm trọng đến tính bảo mật, tính toàn vẹn và tính khả dụng của ứng dụng”, công ty bảo mật ứng dụng doanh nghiệp Onapsis giải thích.
Lỗ hổng nghiêm trọng thứ hai được khắc phục trong tháng là CVE-2026-0509 (điểm CVSS: 9.6), một lỗi thiếu kiểm tra ủy quyền trong NetWeaver Application Server ABAP và ABAP Platform. “Trong một số trường hợp nhất định, người dùng đã được xác thực nhưng có quyền hạn thấp có thể thực hiện các cuộc gọi hàm từ xa trong nền mà không cần ủy quyền S_RFC bắt buộc”, Onapsis giải thích.
Bên cạnh đó, trong tháng 2, SAP cũng đã khắc phục các lỗ hổng trong các sản phẩm như NetWeaver, Supply Chain Management, Solution Tools Plug-In (ST-PI), BusinessObjects và Commerce Cloud. Các vấn đề này bao gồm lỗi mã hóa chữ ký XML trong NetWeaver, có thể cho phép kẻ tấn công gửi các tài liệu XML đã ký, sau khi được chấp nhận, có thể làm lộ thông tin nhạy cảm của người dùng và tiềm ẩn nguy cơ gây gián đoạn hoạt động hệ thống. Các lỗ hổng còn lại liên quan đến việc thiếu kiểm tra ủy quyền, race condition, open redirect và DoS.
SAP không đề cập đến việc bất kỳ lỗ hổng nào trong số này bị khai thác trên thực tế, nhưng người dùng được khuyến nghị nên cập nhật hệ thống của mình càng sớm càng tốt để bảo vệ trước các mối đe dọa tiềm tàng.
Ivanti
Trong tháng 2, Ivanti phát hành các bản cập nhật bảo mật nhằm khắc phục 02 lỗ hổng mới ảnh hưởng đến Endpoint Manager (EPM), bao gồm cả 11 lỗ hổng đã được công bố vào tháng 10/2025. Theo hãng, việc khai thác thành công các lỗ hổng này có thể cho phép kẻ tấn công từ xa đã được xác thực rò rỉ dữ liệu tùy ý hoặc xâm phạm phiên người dùng.
Cụ thể, với mã định danh CVE-2026-1603 (điểm CVSS: 8.6), lỗ hổng này được mô tả là một lỗi cho phép vượt qua quá trình xác thực dẫn đến việc lộ dữ liệu thông tin đăng nhập. Trong khi đó, CVE-2026-1602 (điểm CVSS: 6.5) là một lỗi SQL injection có thể cho phép kẻ tấn công đã xác thực đọc dữ liệu tùy ý từ cơ sở dữ liệu. Cả hai vấn đề đều đã được giải quyết trong EPM 2024 SU5.
Theo antoanthongtin.vn