Cập nhật bản vá lỗ hổng bảo mật tháng 4

Microsoft

Trung tuần tháng 4, Microsoft đã phát hành bản Patch Tuesday để giải quyết 134 lỗ hổng bảo mật. Đáng lưu ý, bản vá lần này đã khắc phục 1 lỗ hổng zero-day đang bị khai thác tích cực. Trong 134 lỗ hổng có: 11 lỗ hổng xếp hạng nghiêm trọng, 112 lỗ hổng quan trọng, 2 lỗ hổng xếp hạng thấp và 9 lỗ hổng chưa xác định.

Đáng lưu ý, một lỗ hổng zero-day đang bị khai thác tích cực định danh CVE-2025-29824. Đây là lỗ hổng nâng cao đặc quyền của trình điều khiển hệ thống tệp nhật ký chung của Windows. Microsoft cho biết lỗ hổng này cho phép kẻ tấn công cục bộ giành được đặc quyền hệ thống trên thiết bị. Microsoft cho biết Trung tâm tình báo về mối đe dọa của Microsoft là nơi phát hiện ra lỗ hổng này.

Adobe

Cũng trong tháng 4, Adobe đã phát hành bản vá giải quyết 54 lỗ hổng trong các sản phẩm: Adobe Cold Fusion, After Effects, Media Encoder, Bridge, Commerce, AEM Forms, Premiere Pro, Photoshop, Animate, AEM Screens, FrameMaker và Adobe XMP Toolkit SDK. Trong đó, có 31 lỗ hổng bảo mật xếp hạng nghiêm trọng, 20 lỗ hổng bảo mật xếp hạng quan trọng và 3 lỗ hổng xếp hạng trung bình. 

Đáng chú ý, một lỗ hổng bảo mật định danh CVE-2025-24447, có điểm CVSS 9.1 được phát hiện trong Adobe ColdFusion, ảnh hưởng đến các phiên bản 2023.12, 2021.18, 2025.0 và các phiên bản cũ hơn. Đây là một lỗ hổng giải tuần tự hóa dữ liệu không đáng tin cậy (Deserialization of Untrusted Data) nghiêm trọng, có khả năng dẫn đến việc thực thi mã tùy ý trong ngữ cảnh của người dùng hiện tại. Nếu khai thác thành công lỗ hổng này sẽ ảnh hưởng tính bảo mật và tính toàn vẹn của hệ thống. Đáng lo ngại hơn, việc khai thác lỗ hổng này không yêu cầu sự tương tác của người dùng. 

Adobe cho biết không có lỗ hổng nào được biết đến công khai hoặc bị khai thác tích cực tại thời điểm phát hành bản vá. Tuy nhiên, người dùng và quản trị viên hệ thống sử dụng các sản phẩm bị ảnh hưởng của Adobe nên ngay lập tức triển khai các bản vá bảo mật mới nhất để giảm thiểu nguy cơ bị tấn công. 

SAP

Ở một động thái khác, SAP đã phát hành bản cập nhật để giải quyết 20 lỗ hổng bảo mật. Trong đó, có 3 lỗ hổng xếp hạng nghiêm trọng, 5 lỗ hổng xếp hạng quan trọng và 12 lỗ hổng xếp hạng trung bình.  

Đáng chú ý, 2 lỗ hổng nghiêm trọng được theo dõi với mã định danh CVE-2025-27429 và CVE-2025-31330 cùng có điểm CVSS 9.9, là các lỗ hổng tiêm mã lệnh (code injection) trong S/4HANA (Private Cloud) và Landscape Transformation (Analysis Platform).

Lỗ hổng nghiêm trọng còn lại có định danh CVE-2025-30016 có điểm CVSS 9.8, là một lỗ hổng vượt qua xác thực (authentication bypass) trong Financial Consolidation. Lỗ hổng này có thể cho phép kẻ tấn công chưa được xác thực mạo danh người dùng quản trị viên.

Các tổ chức sử dụng các sản phẩm SAP bị ảnh hưởng, đặc biệt là S/4HANA (Private Cloud), Landscape Transformation (Analysis Platform) và Financial Consolidation, cần ưu tiên triển khai ngay lập tức các bản vá bảo mật để giải quyết các lỗ hổng nghiêm trọng. 

Đối với các lỗ hổng mức độ cao và trung bình, các tổ chức nên đánh giá rủi ro cụ thể trong môi trường của mình và vá lỗ hổng phù hợp. Việc cập nhật bản vá rất quan trọng để các tổ chức có thể chủ động ứng phó với các mối đe dọa an ninh mạng mới nhất và bảo vệ hệ thống của mình một cách hiệu quả.