Người dùng hệ điều hành Windows cần cập nhật ngay

VOV.VN - Microsoft đã công bố bản vá cho hệ điều hành Windows nhằm khắc phục 63 lỗ hổng bảo mật mới được phát hiện, bao gồm một lỗ hổng đang bị khai thác rộng rãi.

Trong số các bản vá cho hệ điều hành Windows mà Microsoft phát hành lần này, có bốn lỗ hổng được đánh giá là nghiêm trọng, trong khi 59 lỗ hổng còn lại được xếp vào mức độ quan trọng.

Đáng chú ý, 29 lỗ hổng liên quan đến việc leo thang đặc quyền, 16 lỗ hổng cho phép thực thi mã từ xa, 11 lỗ hổng tiết lộ thông tin, 3 lỗ hổng từ chối dịch vụ (DoS), 2 lỗ hổng bỏ qua tính năng bảo mật và 2 lỗ hổng giả mạo. Các bản vá này bổ sung vào 27 lỗ hổng bảo mật mà Microsoft đã khắc phục trong trình duyệt Edge dựa trên Chromium kể từ bản cập nhật Patch Tuesday vào tháng 10/2025.

nguoi dung he dieu hanh windows can cap nhat ngay hinh anh 1 — Người dùng có thể kiểm tra bản cập nhật trong ứng dụng Settings của Windows.

Lỗ hổng zero-day được xác định trong bản cập nhật này là CVE-2025-62215 (điểm CVSS: 7.0), một lỗ hổng leo thang đặc quyền trong Windows Kernel và do các cơ quan tìm kiếm lỗ hổng bảo mật của chính Microsoft phát hiện ra. Công ty cho biết: “Việc thực thi đồng thời bằng tài nguyên chia sẻ với sự đồng bộ hóa không đúng cách trong Windows Kernel cho phép kẻ tấn công nâng cao đặc quyền cục bộ”. Tuy nhiên, công ty cũng trấn an rằng để khai thác thành công, kẻ tấn công cần phải có quyền truy cập vào hệ thống.

Một chuyên gia an ninh mạng cho rằng, vẫn chưa rõ lỗ hổng này bị khai thác như thế nào và bởi ai, nhưng có khả năng nó được sử dụng để nâng cao đặc quyền sau khi có được quyền truy cập ban đầu thông qua các phương tiện khác như kỹ thuật xã hội hoặc lừa đảo.

Ngoài ra, bản cập nhật cũng bao gồm các bản vá cho hai lỗ hổng tràn bộ đệm trong Microsoft Graphics Component (CVE-2025-60724, điểm CVSS: 9,8) và Windows Subsystem for Linux GUI (CVE-2025-62220, điểm CVSS: 8,8), có thể dẫn đến thực thi mã từ xa.

Một lỗ hổng nghiêm trọng khác là CVE-2025-60704 trong Windows Kerberos (điểm CVSS: 7.5) cho phép kẻ tấn công chiếm quyền quản trị viên. Với lỗ hổng này, kẻ tấn công có thể mạo danh bất kỳ người dùng nào trong công ty, cho phép họ truy cập không giới hạn hoặc trở thành quản trị viên tên miền.

Để cập nhật bản vá bảo mật mới nhất cho Windows, người dùng có thể mở ứng dụng Settings > Windows Update và nhấp vào Check for Updates. Windows sẽ tìm bản cập nhật Patch Tuesday mới nhất của tháng 11/2025.