Cập nhật bản vá lỗ hổng bảo mật tháng 3

Microsoft

Trung tuần tháng 3, Microsoft đã phát hành bản vá để giải quyết 57 lỗ hổng bảo mật trong các sản phẩm của mình, bao gồm 6 lỗ hổng zero-day bị khai thác tích cực trong thực tế. Trong đó, có sáu lỗ hổng xếp hạng nghiêm trọng, 50 lỗ hổng xếp hạng quan trọng và 1 lỗ hổng xếp hạng thấp. 23 lỗ hổng được giải quyết là lỗ hổng thực thi mã từ xa và 22 lỗ hổng leo thang đặc quyền.

Đáng chú ý, một lỗ hổng use-after-free định danh CVE-2025-24983 có điểm CVSS 7.0 trong Windows Win32 Kernel Subsystem cho phép kẻ tấn công được ủy quyền nâng cao đặc quyền cục bộ. ESET, công ty được cho là đã phát hiện và báo cáo CVE-2025-24983, cho biết họ lần đầu tiên phát hiện ra lỗ hổng zero-day này vào tháng 3/2023 và phát tán thông qua một cửa hậu có tên là PipeMagic trên các máy chủ bị xâm phạm.

Adobe

Cũng trong tháng 3 Adobe đã phát hành bản vá cho 37 lỗ hổng bảo mật trong các sản phẩm Adobe Acrobat Reader, Substance 3D Sampler, Illustrator, Substance 3D Painter, InDesign, Substance 3D Modeler và Substance 3D Designer.

Đáng chú ý, sáu trong số các lỗ hổng này được phát hiện và báo cáo thông qua chương trình Zero Day Initiative, một chương trình chuyên tìm kiếm và báo cáo các lỗ hổng bảo mật. Điều này cho thấy sự hợp tác chặt chẽ giữa Adobe và cộng đồng bảo mật trong việc nâng cao an toàn cho người dùng.

Trong bản vá lần này, bản cập nhật cho Adobe Acrobat Reader được đánh giá là quan trọng nhất, khi nó khắc phục nhiều lỗ hổng thực thi mã từ xa (RCE) có mức độ nghiêm trọng. Những lỗ hổng này có thể cho phép kẻ tấn công kiểm soát hệ thống của người dùng nếu họ mở một tệp PDF được tạo đặc biệt. 

Mặc dù số lượng lỗ hổng được vá là đáng kể, Adobe cho biết rằng không có lỗ hổng nào trong số này đang bị khai thác tích cực tại thời điểm phát hành bản vá. 

SAP

Ở một động thái khác, SAP đã phát hành bản cập nhật để giải quyết 25 lỗ hổng bảo mật. Trong đó, có 5 lỗ hổng xếp hạng mức độ nghiêm trọng, 15 lỗ hổng xếp hạng quan trọng và 5 lỗ hổng xếp hạng trung bình.  

Lỗ hổng bảo mật mới và nghiêm trọng với điểm CVSS cao nhất mà hãng SAP giải quyết trong bản cập nhật lần này định danh CVE-2025-27434 với 8.8 điểm CVSS. Lỗ hổng này xuất phát từ việc SAP Commerce thiếu khả năng kiểm tra và xác thực đầu vào từ người dùng một cách đầy đủ. Điều này tạo điều kiện cho kẻ tấn công có thể chèn mã độc từ xa vào ứng dụng. Mã độc này, khi được thực thi, sẽ cho phép kẻ tấn công thực hiện một cuộc tấn công XSS. Lỗ hổng XSS này có thể gây ra những tác động nghiêm trọng đến tính bảo mật của dữ liệu trong SAP Commerce và kẻ tấn công có thể lợi dụng lỗ hổng này để thực hiện các cuộc tấn công phức tạp, gây thiệt hại lớn về tài chính và uy tín. Người dùng cần nhanh chóng cập nhật bản vá để tránh các rủi ro đáng tiếc.