Microsoft vừa phát hành bản cập nhật bảo mật tháng 5 (Patch Tuesday), khắc phục tổng cộng 120 lỗ hổng bảo mật ảnh hưởng đến Windows, bộ ứng dụng Office và nhiều dịch vụ đám mây của hãng. Trong số này có 30 lỗ hổng được đánh giá ở mức nghiêm trọng, còn lại được xếp vào nhóm rủi ro cao.

Đây được xem là một trong những bản Patch Tuesday có số lượng bản vá lỗi lớn bất thường. Giới chuyên gia cho rằng nguyên nhân có thể liên quan đến cuộc thi khai thác lỗ hổng bảo mật Pwn2Own diễn ra tại Berlin (Đức) từ ngày 14-5, khiến Microsoft phải nhanh chóng xử lý hàng loạt lỗi nhằm tránh nguy cơ bị tin tặc khai thác công khai.

Windows xuất hiện nhiều lỗ hổng thực thi mã độc từ xa

Trong tổng số các lỗi được vá, có tới 66 lỗ hổng ảnh hưởng đến các phiên bản Windows 10, Windows 11 và Windows Server. Dù Windows 10 đã kết thúc hỗ trợ chính thức từ tháng 10-2025, những người dùng tham gia chương trình Extended Security Updates vẫn tiếp tục nhận được bản vá lỗi bảo mật.

Đáng chú ý, Microsoft đã xử lý 5 lỗ hổng thực thi mã độc từ xa (RCE) được xếp loại nghiêm trọng trên Windows. Trong đó, lỗ hổng CVE-2026-41096 liên quan đến DNS Client được đánh giá đặc biệt nguy hiểm do thành phần này hiện diện trên gần như mọi máy tính chạy Windows.

Theo mô tả, kẻ tấn công chỉ cần gửi phản hồi DNS độc hại để thực thi mã độc tùy ý trên thiết bị mục tiêu. Điều này đồng nghĩa với việc một máy chủ DNS bị kiểm soát có thể trở thành công cụ tấn công hàng loạt đối với người dùng Windows.

Một lỗ hổng nghiêm trọng khác là CVE-2026-41089 trong Windows Netlogon. Tin tặc có thể thực thi mã độc trên bộ điều khiển miền mà không cần đăng nhập, chỉ bằng cách gởi các yêu cầu mạng được thiết kế đặc biệt.

Microsoft Office được vá 27 lỗ hổng

Bộ ứng dụng Microsoft Office cũng ghi nhận 27 lỗ hổng được sửa trong tháng này, gần gấp đôi so với tháng 4.

Trong số đó có 15 lỗ hổng thực thi mã độc từ xa, với 8 lỗi được đánh giá nghiêm trọng. Riêng ứng dụng Word có đến 4 lỗ hổng nghiêm trọng.

Điểm đáng lo ngại là khung xem trước (Preview Pane) cũng có thể trở thành điểm tấn công. Người dùng thậm chí không cần mở hoàn toàn tập tin nhiễm độc bằng Office mà vẫn có nguy cơ bị tấn công.

Microsoft cũng xếp lỗi lỗ hổng rò rỉ dữ liệu CVE-2026-33823 trong Team Events Portal vào mức nghiêm trọng và đã vá lỗ hổng này. Ngoài ra, 2 lỗ hổng rò rỉ dữ liệu khác trong Microsoft 365 Copilot gồm CVE-2026-26129 và CVE-2026-26164 cũng được đánh giá nghiêm trọng.

Microsoft Edge vá 127 lỗ hổng từ Chromium

Trình duyệt web Microsoft Edge phiên bản 148.0.3967.54 đã phát hành ngày 7-5 cũng đi kèm hàng loạt bản vá bảo mật mới.

Bản cập nhật này dựa trên nhân Chromium 148.0.7778.97 và xử lý 127 lỗ hổng có nguồn gốc từ Chromium. Các lỗi này không nằm trong tổng số 120 lỗ hổng của Patch Tuesday.

Ngoài ra, Microsoft còn vá thêm 3 lỗ hổng riêng của trình duyệt web Microsoft Edge cùng 2 lỗ hổng trên phiên bản Microsoft Edge dành cho hệ điều hành Android.

LÊ PHI (Theo PCWorld)