Hotline: 024 38357975
Liên hệ tòa soạn
Giới thiệu
Đăng nhập

Cập nhật bản vá lỗ hổng bảo mật tháng 10/2025

11:00 | 25/10/2025
Hồng Đạt

Trong tháng 10, Microsoft, Adobe, SAP và Ivanti đã phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.

Microsoft

Trung tuần tháng 10, Microsoft đã phát hành bản vá Patch Tuesday để giải quyết 167 lỗ hổng bảo mật trong các sản phẩm của mình, 8 lỗ hổng trong số này được đánh giá nghiêm trọng.

Cụ thể, 167 lỗ hổng được khắc phục trong bản vá Patch Tuesday tháng 10 bao gồm: 74 lỗ hổng leo thang đặc quyền; 32 lỗ hổng thực thi mã từ xa; 28 lỗ hổng tiết lộ thông tin; 11 lỗ hổng từ chối dịch vụ, 10 lỗ hổng giả mạo; 11 lỗ hổng bypass các tính năng bảo mật và 01 lỗ hổng Tampering. Số lượng này không bao gồm các lỗ hổng Azure, Mariner, Microsoft Edge và các lỗ hổng khác đã được khắc phục sớm vào đầu tháng này.

Bản vá bảo mật tháng này cũng đã giải quyết 6 lỗ hổng được phân loại là lỗ hổng zero-day. Đáng chú ý là lỗ hổng TCG TPM 2.0 có thể dẫn đến việc tiết lộ thông tin hoặc từ chối dịch vụ TPM. Với mã định danh CVE-2025-2884, lỗ hổng này liên quan đến lỗi trong hàm trợ giúp CryptHmacSign của triển khai tham chiếu CG TPM2.0, dễ bị đọc ngoài giới hạn do thiếu xác thực lược đồ với thuật toán khóa chữ ký. Microsoft tiết lộ, Trusted Computing Group (TCG) và một nhà nghiên cứu ẩn danh đã phát hiện ra lỗ hổng này.

Adobe

Cũng trong tháng 10, Adobe đã phát hành 12 khuyến cáo bảo mật để khắc phục 36 lỗ hổng trong các sản phẩm của hãng, bao gồm Connect, Adobe Commerce, Adobe Creative Cloud Desktop Application, Adobe Bridge, Adobe Animate, Adobe Experience Manager Screens, Substance 3D Viewer, Substance 3D Modeler, Adobe FrameMaker, Adobe Illustrator, Adobe Dimension và Substance 3D Stager. Đáng lưu ý, có đến 24 lỗ hổng được vá xếp hạng nghiêm trọng. Theo Adobe, việc khai thác thành công các lỗ hổng này có thể dẫn đến leo thang đặc quyền, bypass tính năng bảo mật và thực thi mã tùy ý.

Lỗ hổng nghiêm trọng nhất được công ty vá trong các bản cập nhật tháng 10 là CVE-2025-49553 (điểm CVSS: 9.3), lỗ hổng XSS này có thể bị khai thác dẫn đến thực thi mã và ảnh hưởng đến các phiên bản của Adobe Connect 12.9 trở về trước trên Windows cũng như macOS.

Ngoài ra, một lỗ hổng đáng chú ý cũng đã được Adobe khắc phục trong sản phẩm Commerce và Magento Open Source. Với mã định danh CVE-2025-54263, sự cố này xuất phát từ việc kiểm soát truy cập không đúng cách và có thể cho phép kẻ tấn công bypass các tính năng bảo mật, có khả năng dẫn đến xâm phạm hệ thống nghiêm trọng.

Trong khi hầu hết các bản cập nhật đều có mức độ priority là “3”, Adobe đã nâng mức độ ưu tiên cho Adobe Commerce và Magento Open Source lên “2”. Các nền tảng này phải đối mặt với rủi ro cao hơn dựa trên các mẫu khai thác trước đây, khiến việc vá lỗi kịp thời trở nên quan trọng hơn. Công ty cho biết họ chưa phát hiện bất kỳ lỗ hổng nào trong số này bị khai thác ngoài thực tế, nhưng khuyến cáo người dùng nên cập nhật các bản vá càng sớm càng tốt. Thông tin bổ sung có thể được tìm thấy trên trang PSIRT của Adobe.

SAP

Ở một động thái khác, SAP đã phát hành bản vá Patch Tuesday tháng 10 để giải quyết 17 lỗ hổng bảo mật. Trong đó, có 02 lỗ hổng nghiêm trọng nhất với mã định danh CVE-2025-42944 và CVE-2025-42944 (điểm CVSS: 10.0), đây là lỗ hổng giải tuần tự hóa trong NetWeaver, kẻ tấn công chưa được xác thực có thể khai thác hệ thống thông qua mô-đun RMI-P4 bằng cách gửi mã độc hại đến một cổng mở. Việc giải tuần tự hóa các đối tượng Java không đáng tin cậy như vậy có thể dẫn đến việc thực thi lệnh hệ điều hành tùy ý, gây ảnh hưởng nghiêm trọng đến tính bảo mật, tính toàn vẹn và khả dụng của ứng dụng.

Bên cạnh đó, một lỗ hổng đáng chú ý khác đã được vá là CVE-2025-42937 (điểm CVSS: 9.8) và ảnh hưởng đến dịch vụ SAPSprint. Nếu khai thác thành công lỗ hổng Directory Traversal này, kẻ tấn công chưa được xác thực có thể xâm nhập vào thư mục gốc và ghi đè lên các tệp hệ thống.

Ivanti

Trong tháng 10, Ivanti đã phát hành bản vá Patch Tuesday để khắc phục 7 lỗ hổng bảo mật ảnh hưởng đến các sản phẩm của hãng. Theo đó, công ty giải quyết 01 lỗ hổng mức độ trung bình và 03 lỗ hổng nghiêm trọng trong Endpoint Manager Mobile (EPMM), việc khai thác thành công yêu cầu xác thực và có thể dẫn đến thực thi mã từ xa. CVE-20925-10242 (điểm CVSS: 7.2) là lỗ hổng nghiêm trọng nhất được vá trong EPMM, lỗi command injection OS này ảnh hưởng đến admin panel các phiên bản 12.6.0.2, 12.5.0.4 và 12.4.0.4  trở về trước. Ivanti cho biết, kẻ tấn công xác thực từ xa với quyền quản trị viên có thể thực thi mã tùy ý.

Mặt khác, bản vá tháng 10 cũng đã khắc phục 01 lỗ hổng mức độ trung bình và 02 lỗ hổng nghiêm trọng ảnh hưởng đến Neurons for MDM, 01 lỗ hổng trong số này được chấm điểm CVSS 8.1, liên quan đến quá trình xác thực của Ivanti Neurons for MDM R119 trở về trước, cho phép kẻ tấn công đã xác thực từ xa bypass xác thực hai yếu tố.

Ivanti lưu ý trong thông báo cập nhật bảo mật của mình rằng: “Chúng tôi không phát hiện bất kỳ lỗ hổng nào trong số này bị khai thác trên thực tế”.

Twitter Zalo Facebook YouTube Copy Link QR Code
LỖ HỔNG BẢO MẬT PATCH TUESDAY CẬP NHẬT BẢN VÁ IVANTI ADOBE MICROSOFT SAP
Để lại bình luận
TIN ĐỌC NHIỀU
Tin cùng chuyên mục
    ẤN PHẨM IN
    Tạp chí in Chuyên san
    Trang liên kết