Theo đó, bản vá Patch Tuesday tháng 1 đã khắc phục 40 lỗ hổng leo thang đặc quyền; 58 lỗ hổng thực thi mã từ xa (RCE); 15 lỗ hổng vượt qua tính năng bảo mật (bypass); 23 lỗ hổng tiết lộ thông tin; 20 lỗ hổng từ chối dịch vụ và 05 lỗ hổng giả mạo (spoofing).
Đáng chú ý, trong số 161 lỗ hổng bảo mật được vá có 12 lỗ hổng phân loại là nghiêm trọng, bao gồm các lỗ hổng tiết lộ thông tin, leo thang đặc quyền và RCE.
Microsoft cho biết, có 3 lỗ hổng bảo mật zero-day đang bị khai thác tích cực đã được vá trong bản cập nhật tháng 01 gồm: CVE-2025-21333, CVE-2025-21334 và CVE-2025-21335. Đây là các lỗ hổng leo thang đặc quyền Windows Hyper-V NT Kernel Integration VSP.
Nếu khai thác thành công, các tin tặc có thể giành được đặc quyền SYSTEM trên các thiết bị Windows, từ đó kiểm soát hoàn toàn mục tiêu. Gã khổng lồ công nghệ chia sẻ rằng, hiện không có thông tin nào được công bố về cách những lỗ hổng này bị khai thác và tất cả đều cho thấy rằng chúng được tiết lộ một cách ẩn danh.
Bên cạnh đó, có 5 lỗ hổng zero-day được công bố công khai là:
CVE-2025-21275: Lỗ hổng leo thang đặc quyền Windows App Package Installer. Microsoft đã khắc phục lỗ hổng leo thang đặc quyền trong Windows App Package Installer, khai thác thành công có thể dẫn đến chiếm đoạt quyền SYSTEM. Lỗ hổng bảo mật này đã được gửi ẩn danh tới Microsoft.
CVE-2025-21308: Lỗ hổng Windows Themes Spoofing. Microsoft đã khắc phục lỗ hổng bảo mật của Windows Theme có thể bị khai thác chỉ bằng cách hiển thị tệp Theme được thiết kế đặc biệt trong Windows Explorer. “Kẻ tấn công sẽ phải thuyết phục người dùng tải một tệp tin độc hại vào một hệ thống dễ bị tấn công, thường là thông qua hình thức dụ dỗ trong email hoặc tin nhắn Instant Messenger, sau đó thuyết phục người dùng thao tác với tệp tin này, nhưng không nhất thiết phải nhấp hoặc mở tệp tin độc hại đó”, khuyến cáo của Microsoft giải thích.
Lỗ hổng CVE-2025-21308 được nhà nghiên cứu bảo mật Blaz Satler phát hiện thông qua bản vá 0patch của ACROS Security. Khi tệp Theme được xem trong Windows Explorer và sử dụng các tùy chọn BrandImage và Wallpaper chỉ định đường dẫn tệp mạng, Windows sẽ tự động gửi yêu cầu xác thực đến máy chủ từ xa, bao gồm thông tin xác thực NTLM của người dùng đã đăng nhập.Các mã băm NTLM này sau đó có thể bị bẻ khóa để lấy được mật khẩu dưới dạng văn bản thuần túy hoặc được sử dụng trong các cuộc tấn công pass-the-hash. Microsoft cho biết lỗ hổng sẽ được khắc phục nếu NTLM bị vô hiệu hóa hoặc chính sách “Restrict NTLM: Outgoing NTLM traffic to remote servers” được bật.
CVE-2025-21186, CVE-2025-21366 và CVE-2025-21395: Lỗ hổng RCE Microsoft Access. Microsoft đã khắc phục 3 lỗ hổng RCE trong Microsoft Access bị khai thác khi mở các tài liệu Microsoft Access được thiết kế đặc biệt. Microsoft đã giảm thiểu vấn đề này bằng cách chặn quyền truy cập vào các tệp Microsoft Access nếu chúng được gửi qua email: accdb; accde; accdw; accdt; accda; accdr; accdu.
Điều thú vị là Unpatched[.]ai, một nền tảng phát hiện lỗ hổng được hỗ trợ bởi trí tuệ nhân tạo (AI) đã phát hiện ra cả 3 lỗ hổng này.
Dưới đây là danh sách đầy đủ các lỗ hổng đã được giải quyết trong bản cập nhật Patch Tuesday tháng 01/2025. Quý độc giả có thể xem mô tả đầy đủ về từng loại lỗ hổng và hệ thống bị ảnh hưởng tại đây.
Bước 1: Kích chuột vào biểu tượng Windows cửa sổ hiện ra chọn vào Settings.
Bước 2: Cửa sổ hiện ra kích chọn Update & Security.
Bước 3: Cửa sổ hiện ra kích chọn Windows Update, tiếp theo chọn Check for updates.
Sau khi hoàn thành, tiến hành khởi động lại máy. Người dùng quan tâm hướng dẫn chi tiết cập nhật lỗ hổng có thể theo dõi quy trình cập nhật bản vá trên máy trạm tại đây.
Hồng Đạt
(Tổng hợp)
09:00 | 10/02/2025
10:00 | 11/12/2024
14:00 | 13/02/2025
16:00 | 09/10/2024
16:00 | 13/09/2024
13:00 | 13/01/2025
Một lỗ hổng vừa được phát hiện trong Nuclei của ProjectDiscovery, một công cụ quét lỗ hổng nhanh, hiệu quả và có khả năng mở rộng. Nếu khai thác thành công, lỗ hổng này có thể cho phép kẻ tấn công bỏ qua các lần kiểm tra chữ ký và thực thi mã độc.
13:00 | 03/12/2024
Một công ty viễn thông Anh vừa tung ra "vũ khí bí mật" chống lừa đảo mang tên "bà lão AI" khiến cho kẻ lừa đảo bị cuốn vào những câu chuyện dài vô tận.
17:00 | 22/11/2024
Gmail vừa được nâng cấp mạnh mẽ với tính năng "Trả lời thông minh" mới, nhờ sức mạnh của AI Gemini. Giờ đây, người dùng sẽ nhận được những gợi ý trả lời email tự động thông minh hơn, chính xác và khớp với nội dung email hơn. Tính năng này không chỉ giúp bạn tiết kiệm thời gian soạn thư mà còn nâng cao hiệu quả giao tiếp trong công việc.
16:00 | 30/10/2024
Trong tháng 10, Microsoft, Adobe và SAP đã phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.
TikTok tiếp tục khẳng định vị thế trên thị trường công nghệ với dự án đầu tư gần 3,8 tỷ USD cho trung tâm dữ liệu tại Thái Lan. Động thái này diễn ra trong bối cảnh hàng loạt "ông lớn" công nghệ toàn cầu cũng đang đổ xô vào xây dựng các dự án điện toán đám mây tại xứ sở chùa Vàng.
10:00 | 14/02/2025