Microsoft đã phát hành một bản cập nhật bảo mật quan trọng nhằm khắc phục một lỗ hổng CVE nghiêm trọng trong Microsoft Edge. Lỗ hổng này có thể cho phép kẻ tấn công từ xa thực thi mã tùy ý trên các hệ thống dễ bị tổn thương. Việc xử lý các tệp nhật ký phản hồi không đúng cách là nguyên nhân chính dẫn đến rủi ro này, đòi hỏi sự chú ý khẩn cấp từ người dùng và quản trị viên hệ thống.
Sự cố này làm nổi bật tầm quan trọng của việc xác thực đầu vào nghiêm ngặt trong phần mềm. Khi các ứng dụng không kiểm tra kỹ lưỡng các đường dẫn tệp do người dùng cung cấp, chúng mở ra cánh cửa cho các cuộc tấn công thao túng đường dẫn. Kẻ tấn công có thể lợi dụng điều này để truy cập hoặc sửa đổi các tệp ngoài phạm vi dự kiến.
Chi tiết Kỹ thuật về Lỗ hổng CVE-2026-45495
Lỗ hổng này được theo dõi dưới mã định danh CVE-2026-45495 và đã được Orange Tsai thuộc DEVCORE báo cáo. Nó mang điểm số CVSS v3 là 7.5, xếp loại nghiêm trọng. Điều này cho thấy mặc dù cần có sự tương tác của người dùng để khai thác, nhưng tác động tiềm tàng của nó là đáng kể.
Cụ thể, lỗ hổng phát sinh từ việc xác thực không đúng cách trong quá trình Edge xử lý các tệp nhật ký phản hồi. Microsoft Edge đã không kiểm tra kỹ lưỡng đường dẫn tệp do người dùng cung cấp trước khi thực hiện các thao tác tệp. Điều này tạo điều kiện cho kẻ tấn công thực hiện các thao tác tệp ngoài ý muốn.
Cơ chế gốc của lỗ hổng là một khiếm khuyết trong việc xác thực đường dẫn khi xử lý nhật ký phản hồi. Kẻ tấn công có thể cung cấp một đường dẫn được chế tạo đặc biệt. Qua đó, chúng có khả năng tác động đến các hoạt động tệp tại một vị trí không được phép trên hệ thống.
Theo báo cáo công khai của Zero Day Initiative (ZDI), cụ thể là ZDI-26-331, lỗ hổng này minh họa rõ rệt rủi ro từ việc thiếu kiểm soát đường dẫn. Việc bỏ qua một bước xác thực tưởng chừng nhỏ có thể dẫn đến hậu quả nghiêm trọng, đặc biệt là trong các ứng dụng có đặc quyền truy cập hệ thống.
Cơ chế Khai thác và Ảnh hưởng
Kẻ tấn công có thể lừa người dùng mở một tệp độc hại hoặc truy cập một trang web được chế tạo đặc biệt. Điều này kích hoạt quá trình khai thác và cho phép kẻ tấn công chạy mã trong ngữ cảnh của người dùng đang đăng nhập. Mặc dù cần có tương tác của người dùng, nhưng các cuộc tấn công kỹ thuật xã hội có thể dễ dàng thực hiện được.
Các vector phổ biến cho việc khai thác lỗ hổng CVE này bao gồm các tệp đính kèm email độc hại, các trang web lừa đảo (drive-by pages) hoặc các bản tải xuống đã bị can thiệp (poisoned downloads). Những phương pháp này được thiết kế để lừa người dùng thực hiện hành động cần thiết để kích hoạt lỗ hổng.
Vì mã khai thác chạy với các đặc quyền của người dùng hiện tại, tác động của cuộc tấn công có thể rất rộng. Nó có thể bao gồm từ đánh cắp dữ liệu nhạy cảm đến làm lộ hồ sơ trình duyệt. Ngoài ra, kẻ tấn công có thể thiết lập sự hiện diện lâu dài cục bộ hoặc thực hiện di chuyển ngang trong mạng nếu có đặc quyền cao hơn.
Khả năng đạt được remote code execution là mối lo ngại lớn nhất. Điều này cho phép kẻ tấn công không chỉ truy cập dữ liệu mà còn kiểm soát hoàn toàn hệ thống. Mức độ nghiêm trọng của hậu quả phụ thuộc vào đặc quyền của người dùng bị ảnh hưởng và cấu hình hệ thống.
Một ví dụ về ảnh hưởng là kẻ tấn công có thể cài đặt thêm mã độc, theo dõi hoạt động của người dùng, hoặc sử dụng máy tính của nạn nhân làm điểm xuất phát cho các cuộc tấn công tiếp theo trong mạng nội bộ. Đây là một lỗ hổng CVE đòi hỏi phải xử lý kịp thời.
Biện pháp Khắc phục và Khuyến nghị
Microsoft đã công bố các bản vá và kêu gọi người dùng cũng như quản trị viên áp dụng các bản cập nhật ngay lập tức. Việc trì hoãn có thể khiến hệ thống gặp rủi ro đáng kể. Điều này nhấn mạnh sự cần thiết của việc duy trì lịch trình cập nhật nghiêm ngặt.
Ngoài lỗ hổng CVE-2026-45495, Microsoft cũng đã phối hợp phát hành các bản cập nhật cho hai lỗ hổng Edge khác. Các lỗ hổng này cũng được phát hiện bởi cùng một nhóm nghiên cứu. Điều này cho thấy tầm quan trọng của việc cập nhật toàn diện cho trình duyệt Edge.
Hướng dẫn Cập nhật Hệ thống
Quản trị viên nên ưu tiên cập nhật cho CVE-2026-45495 do tiềm năng thực thi mã từ xa của nó. Đảm bảo vá lỗi trên tất cả các thiết bị đầu cuối của người dùng là điều cần thiết để giảm thiểu rủi ro. Việc triển khai bản vá một cách có hệ thống là chìa khóa để bảo vệ môi trường IT.
- Kiểm tra phiên bản Edge: Đảm bảo tất cả các cài đặt Microsoft Edge đang chạy phiên bản mới nhất. Người dùng có thể kiểm tra bằng cách truy cập
edge://settings/helptrong trình duyệt. - Triển khai bản vá: Sử dụng các công cụ quản lý bản vá tập trung (ví dụ: Microsoft Intune, SCCM) để phân phối bản vá bảo mật cho toàn bộ tổ chức. Điều này đảm bảo rằng không có thiết bị nào bị bỏ sót.
- Giáo dục người dùng: Nâng cao nhận thức của người dùng về các mối đe dọa kỹ thuật xã hội. Hướng dẫn họ cách nhận biết và tránh các tệp đính kèm độc hại hoặc các liên kết đáng ngờ.
- Giám sát hoạt động: Triển khai các giải pháp phát hiện xâm nhập (IDS/IPS) và giám sát nhật ký để phát hiện các hoạt động bất thường. Các giải pháp này có thể cảnh báo về các nỗ lực khai thác lỗ hổng CVE trước khi chúng gây ra thiệt hại nghiêm trọng.
- Sao lưu dữ liệu: Thực hiện sao lưu dữ liệu thường xuyên. Điều này đảm bảo khả năng phục hồi trong trường hợp xảy ra một cuộc tấn công thành công dẫn đến mất dữ liệu hoặc hỏng hệ thống.
Microsoft khuyến nghị thiết lập các chính sách cập nhật tự động cho Edge để đảm bảo rằng các bản vá mới nhất luôn được áp dụng kịp thời. Các tổ chức cũng nên xem xét việc triển khai các lớp bảo vệ bổ sung như Enhanced Security Mode (Chế độ Bảo mật Nâng cao) của Edge.
Thông tin Phát hiện
Các lỗ hổng đã được báo cáo cho Microsoft vào ngày 20 tháng 5 năm 2026. Các thông báo công khai phối hợp đã được phát hành và cập nhật vào ngày 4 tháng 6 năm 2026. Công trạng cho việc phát hiện thuộc về Orange Tsai (@orange_8361) của Đội Nghiên cứu DEVCORE (@d3vc0r3).
Sự phối hợp giữa các nhà nghiên cứu bảo mật và nhà cung cấp phần mềm là yếu tố then chốt trong việc duy trì an toàn mạng. Nhờ có những phát hiện như lỗ hổng CVE-2026-45495, các sản phẩm phần mềm có thể được cải thiện, từ đó nâng cao tổng thể an ninh mạng. Việc phát hiện kịp thời các lỗ hổng CVE cho phép các nhà cung cấp phát triển và phát hành các bản vá bảo mật trước khi chúng bị khai thác rộng rãi.
Điều này cũng nhấn mạnh vai trò quan trọng của cộng đồng an ninh mạng trong việc chủ động tìm kiếm và báo cáo các điểm yếu. Thông tin về lỗ hổng CVE này là một lời nhắc nhở rằng an toàn thông tin là một quá trình liên tục, đòi hỏi sự cảnh giác và cập nhật liên tục.
