Trong số các lỗ hổng Windows vừa được Microsoft khắc phục, một lỗ hổng được đánh giá nghiêm trọng và đang bị tin tặc khai thác. Được theo dõi với mã CVE-2025-62221 và có điểm CVSS (điểm đánh giá mức độ nghiêm trọng của lỗ hổng) là 7,8, lỗ hổng liên quan đến vấn đề sử dụng bộ nhớ sau khi đã giải phóng (use-after-free) trong trình điều khiển Windows Cloud Files Mini Filter.
Bản vá bảo mật tháng 12.2025 vừa được Microsoft triển khai cho người dùng Windows
ẢNH: Chụp màn hình
Microsoft cảnh báo rằng việc khai thác thành công lỗ hổng CVE-2025-62221 có thể cho phép kẻ tấn công nâng cao quyền hạn lên cấp hệ thống trên các thiết bị Windows. Công ty cho biết họ đã ghi nhận lỗ hổng này đang bị khai thác, tuy nhiên chưa cung cấp thông tin chi tiết về các cuộc tấn công đã xảy ra.
Bên cạnh đó, một lỗ hổng khác trong Cloud Files Mini Filter Driver có tên mã CVE-2025-62454 và ghi nhận số điểm CVSS là 7,8. Microsoft cảnh báo rằng lỗ hổng này cũng có khả năng bị khai thác để leo thang đặc quyền trên hệ thống.
Nhiều lỗ hổng Windows khác được khắc phục
Bản cập nhật Patch Tuesday tháng 12.2025 cũng khắc phục hai lỗ hổng chèn lệnh dẫn đến thực thi mã từ xa, được phát hiện trong Copilot cho Jetbrains (CVE-2025-64671) và PowerShell (CVE-2025-54100). Mặc dù cả hai vấn đề này đã được công bố trước khi bản vá được phát hành, Microsoft cho biết chúng ít có khả năng bị khai thác trong các cuộc tấn công, mặc dù có bằng chứng về việc CVE-2025-64671 đã bị nhắm đến.
Trung Quốc muốn giảm dần sử dụng chip Intel, AMD và hệ điều hành Windows
Ngoài ra, bản cập nhật cũng khắc phục 13 lỗ hổng trong bộ Office, trong đó có hai lỗ hổng được đánh giá là "nghiêm trọng" với điểm CVSS là 8,4. Hai lỗ hổng này, mã CVE-2025-62554 và CVE-2025-62557, liên quan đến lỗi nhầm lẫn kiểu dữ liệu và lỗi sử dụng bộ nhớ sau khi đã giải phóng, từ đó cho phép kẻ tấn công có thể thực thi mã từ xa.
Theo Microsoft, những kẻ tấn công có thể sử dụng kỹ thuật xã hội để thuyết phục người dùng nhấp vào các liên kết độc hại, thậm chí trong một số trường hợp, chúng chỉ cần gửi email được soạn thảo đặc biệt mà không cần nạn nhân mở hay nhấp vào liên kết.
Các sản phẩm khác của Microsoft, bao gồm Visual Studio, Azure Monitor Agent, Hyper-V, Edge cho iOS và Application Information Service, cũng nhận được bản sửa lỗi trong đợt cập nhật này. Được biết, trong năm 2025, Microsoft đã phát hành bản vá cho khoảng 1.200 lỗ hổng bảo mật, đánh dấu năm thứ hai liên tiếp công ty xử lý hơn 1.000 lỗ hổng.
