Cập nhật bản vá lỗ hổng bảo mật tháng 2

Trong tháng 2, Microsoft, Adobe và SAP đã phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.

Microsoft

 Microsoft đã phát hành bản Patch Tuesday tháng 02/2025 để giải quyết 63 lỗ hổng bảo mật. Đáng lưu ý, bản vá lần này đã khắc phục 04 lỗ hổng zero-day, với 02 lỗ hổng đang bị khai thác trong thực tế.

Cụ thể, bản vá Patch Tuesday tháng 2 đã khắc phục 20 lỗ hổng leo thang đặc quyền; 26 lỗ hổng thực thi mã từ xa (RCE); 02 lỗ hổng vượt qua tính năng bảo mật (Bypass); 01 lỗ hổng tiết lộ thông tin; 9 lỗ hổng từ chối dịch vụ (DoS) và 05 lỗ hổng giả mạo (Spoofing).

Đáng chú ý, một lỗ hổng Lỗ hổng leo thang đặc quyền Windows Storage định danh CVE-2025-2139 cho phép kẻ tấn công có thể xóa các tệp mục tiêu trên hệ thống. Hiện chưa có thông tin nào được công bố về cách lỗ hổng này bị khai thác trong các cuộc tấn công và ai là người tiết lộ thông tin này.

Adobe

Trong tháng 2, Adobe đã phát hành bản vá giải quyết 45 lỗ hổng trong các sản phẩm Adobe InDesign, Commerce, Substance 3D Stager, InCopy, Illustrator, Substance 3D Designer và Adobe Photoshop Elements.

Đáng chú ý, bản vá lần này vá 31 lỗ hổng trong Adobe Commerce. Ngoài các lỗ hổng cross-site scripting (XSS), bản cập nhật này cũng giải quyết các lỗ hổng bỏ qua tính năng bảo mật và các lỗ hổng thực thi mã từ xa được đánh giá là nghiêm trọng. Điều này cho thấy sự đa dạng và mức độ nghiêm trọng của các lỗ hổng được tìm thấy trong nền tảng thương mại điện tử này.

Mặc dù, số lượng lỗ hổng được khắc phục là rất lớn, Adobe thông báo rằng không có lỗ hổng nào trong số đó được biết đến công khai hoặc đang bị khai thác tích cực tại thời điểm phát hành bản vá. Adobe khuyến cáo người dùng nên cập nhật các ứng dụng của mình lên phiên bản mới nhất càng sớm càng tốt để đảm bảo an toàn cho hệ thống. Việc cập nhật phần mềm là một biện pháp quan trọng để bảo vệ người dùng khỏi các nguy cơ bảo mật tiềm ẩn và duy trì hiệu suất ổn định của ứng dụng.

SAP

Ở một động thái khác, SAP đã phát hành bản cập nhật để giải quyết 19 lỗ hổng bảo mật trong đó có 17 lỗ hổng mới và 2 lỗ hổng được phát hành bổ sung so với bản cập nhật phát hành trước đó. Trong 19 lỗ hổng này, có 6 lỗ hổng xếp hạng nghiêm trọng, 12 lỗ hổng xếp hạng quan trọng và 1 lỗ hổng xếp hạng trung bình.  

Lỗ hổng bảo mật nghiêm trọng nhất mà SAP giải quyết lần này định danh CVE-2025-0064 với 8,7 điểm CVSS. Đây là lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong Central Management Console (CMC) của nền tảng SAP BusinessObjects Business Intelligence. Lỗ hổng này nằm ở cơ chế ủy quyền của CMC, cho phép người dùng quản trị thực hiện các thao tác quản lý người dùng. Tuy nhiên, trong một số trường hợp nhất định, hệ thống không kiểm tra ủy quyền một cách đầy đủ, cho phép kẻ tấn công lợi dụng để tạo hoặc lấy được mật khẩu bí mật của bất kỳ người dùng nào. Điều này dẫn đến tác động lớn đến tính bảo mật và tính toàn vẹn của dữ liệu, nhưng không ảnh hưởng đến tính khả dụng của hệ thống.

Đây là một lỗ hổng nghiêm trọng, có thể gây ra hậu quả lớn cho các doanh nghiệp sử dụng SAP BusinessObjects BI. Việc áp dụng bản vá bảo mật và thực hiện các biện pháp phòng ngừa là rất quan trọng để bảo vệ hệ thống và dữ liệu của người dùng.