Hotline: 024 38357975
Liên hệ tòa soạn
Giới thiệu
Đăng nhập

Cập nhật bản vá lỗ hổng bảo mật tháng 12/2025

14:42 | 18/12/2025
Hồng Đạt

Trong tháng 12, Microsoft, Adobe, SAP và Ivanti đã phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.

Microsoft

Trung tuần tháng 12, Microsoft đã phát hành bản vá Patch Tuesday để giải quyết 56 lỗ hổng bảo mật trong các sản phẩm của mình, 03 lỗ hổng trong số này được đánh giá nghiêm trọng.

Cụ thể, 56 lỗ hổng được khắc phục trong bản vá Patch Tuesday tháng 12 bao gồm: 28 lỗ hổng leo thang đặc quyền; 19 lỗ hổng thực thi mã từ xa; 04 lỗ hổng tiết lộ thông tin; 03 lỗ hổng từ chối dịch vụ và 02 lỗ hổng giả mạo. Số lượng này không bao gồm các lỗ hổng Mariner và Microsoft Edge đã được khắc phục sớm vào đầu tháng này.

Mối lo ngại lớn nhất là CVE-2025-62221, một lỗ hổng use-after-free trong Windows Cloud Files Mini Filter Driver (điểm CVSS: 7.8) và hiện đang bị khai thác trên thực tế. Kẻ tấn công sử dụng lỗ hổng này để leo thang đặc quyền sau khi giành được quyền truy cập thông qua lừa đảo hoặc tấn công web. Bản vá bảo mật tháng 12 cũng đã giải quyết các lỗ hổng zero-day tiết lộ công khai đáng chú ý khác. Lỗ hổng đầu tiên là CVE-2025-64671 - việc vô hiệu hóa không đúng cách các phần tử đặc biệt được sử dụng trong một lệnh command injection của Copilot cho phép kẻ tấn công trái phép thực thi mã cục bộ.

Lỗ hổng zero-day thứ hai được khắc phục là CVE-2025-54100. Lỗ hổng PowerShell này liên quan đến Invoke-WebRequest, cho phép kẻ tấn công trái phép thực thi mã cục bộ. Microsoft đã thực hiện một thay đổi, hiển thị cảnh báo khi PowerShell sử dụng “Invoke-WebRequest”, nhắc người dùng thêm tham số -UseBasicParsing để ngăn chặn việc thực thi mã.

Adobe

Cũng trong tháng 12, Adobe công bố 5 khuyến cáo bảo mật để khắc phục 138 lỗ hổng trong các sản phẩm của hãng. Theo đó, Adobe vá 12 lỗ hổng bảo mật trong ColdFusion, hầu hết trong số này có thể bị khai thác để thực thi mã tùy ý. Đáng chú ý nhất là CVE-2025-61808, CVE-2025-61809 và CVE-2025-61830 (điểm CVSS: 9.1), nguyên nhân dẫn đến các lỗ hổng này do tải lên tệp tin nguy hiểm không hạn chế, xác thực đầu vào không đúng cách và giải mã dữ liệu không đáng tin cậy.

Đối với Experience Manager (AEM), Adobe đã giải quyết 117 lỗ hổng trên sản phẩm này, bao gồm 116 lỗ hổng XSS, hai trong số này được đánh giá là lỗ hổng nghiêm trọng (CVE-2025-64537 và CVE-2025-64539 có điểm CVSS: 9.3), trong khi 114 lỗ hổng XSS còn lại là các lỗi có mức độ trung bình.

Bên cạnh đó, bản vá tháng 12 cũng khắc phục 04 lỗ hổng trong DNG SDK, 04 lỗ hổng liên quan đến Acrobat và Reader, cùng với 01 lỗ hổng trong Creative Cloud Desktop trên macOS.

Adobe đã xếp hạng priority là “1” cho cả bản cập nhật ColdFusion và AEM, khuyến cáo người dùng nên áp dụng các bản vá lỗi càng sớm càng tốt. Ngoài ra, công ty cho biết đến thời điểm hiện tại, không nhận thấy bất kỳ lỗ hổng nào trong số này bị khai thác trên thực tế.

SAP

Ở một động thái khác, SAP phát hành bản cập nhật bảo mật tháng 12 để giải quyết 14 lỗ hổng. Trong đó, CVE-2025-42880 (điểm CVSS: 9.9) là lỗ hổng nghiêm trọng nhất được vá trong tháng này - một lỗi code injection trong Solution Manager. Theo SAP, lỗ hổng ảnh hưởng đến một mô-đun điều khiển từ xa của sản phẩm, xuất phát từ việc dữ liệu đầu vào của người dùng không được xác thực đúng cách, cho phép kẻ tấn công đã xác thực có thể chèn mã tùy ý. Theo nhà phân tích bảo mật Jonathan Stross của Pathlock, rủi ro do lỗ hổng này gây ra càng cao hơn do vai trò trung tâm của Solution Manager trong môi trường doanh nghiệp, nơi nó hoạt động như một trung tâm điều hành và quản trị kết nối với các hệ thống SAP khác.

Một lỗ hổng đáng chú khác được khắc phục là CVE-2025-42928 (điểm CVSS: 9.1), một vấn đề về giải mã dữ liệu trong SAP Jconnect SDK trên Sybase Adaptive Server Enterprise (ASE). Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi dữ liệu đầu vào được thiết kế đặc biệt, dẫn đến thực thi mã từ xa.

SAP không đề cập đến việc bất kỳ lỗ hổng nào trong số này bị khai thác trên thực tế. Theo khuyến cáo, các tổ chức cần áp dụng tất cả bản vá lỗi SAP càng sớm càng tố, đồng thời hạn chế quyền truy cập quản trị theo địa chỉ IP, kích hoạt hiển thị EDR trên các máy chủ ứng dụng.

Ivanti

Trong tháng 12, Ivanti phát hành các bản cập nhật bảo mật nhằm khắc phục 04 lỗ hổng bảo mật ảnh hưởng đến Endpoint Manager (EPM), bao gồm 01 lỗ hổng nghiêm trọng dẫn đến thực thi mã từ xa. Với mã định danh CVE-2025-10573 (điểm CVSS: 9.6), lỗ hổng Stored XSS này cho phép kẻ tấn công từ xa có thể thực thi mã JavaScript tùy ý. Theo công ty giải thích, khi quản trị viên truy cập giao diện bảng điều khiển và xem thông tin thiết bị, mã độc sẽ kích hoạt việc thực thi JavaScript phía máy khách, cho phép kẻ tấn công giành quyền kiểm soát phiên làm việc của quản trị viên.

Lỗ hổng thứ hai được khắc phục là CVE-2025-13659, tồn tại do việc kiểm soát không đúng cách các tài nguyên code được quản lý động, có thể cho phép kẻ tấn công từ xa ghi các tệp tùy ý trên máy chủ. Tiếp đó là CVE-2025-13661, một lỗ hổng duyệt thư mục có thể bị khai thác để ghi các tệp tùy ý bên ngoài thư mục dự định. Điểm yếu nghiêm trọng thứ tư được mô tả là việc xác minh không đúng cách các chữ ký mật mã trong thành phần quản lý bản vá của EPM. Lỗ hổng này được theo dõi với mã CVE-2025-13662, cho phép kẻ tấn công từ xa không cần xác thực thực thi mã tùy ý.

Ivanti cho biết họ không nhận thấy bất kỳ lỗ hổng nào trong số này bị khai thác trên thực tế. Người dùng được khuyến cáo nên cập nhật lên phiên bản Ivanti EPM mới nhất càng sớm càng tốt.

Twitter Zalo Facebook YouTube Copy Link QR Code
CẬP NHẬT BẢO MẬT LỖ HỔNG BẢO MẬT BẢN VÁ BẢO MẬT PATCH TUESDAY KHẮC PHỤC LỖ HỔNG THÁNG 12 IVANTI ADOBE MICROSOFT SAP
Để lại bình luận
TIN ĐỌC NHIỀU
Tin cùng chuyên mục
    ẤN PHẨM IN
    Tạp chí in Chuyên san
    Trang liên kết