Tổng Quan về Bản Cập Nhật Bảo Mật Tháng 7/2025
Ngày 8 tháng 7 năm 2025, Microsoft đã phát hành các bản cập nhật bảo mật thuộc chu kỳ Patch Tuesday tháng 7 năm 2025. Bản cập nhật này giải quyết tổng cộng 130 lỗ hổng bảo mật trên toàn bộ hệ sinh thái phần mềm của hãng. Đáng chú ý, trong số này có một lỗ hổng zero-day đã được công khai và nhiều lỗ hổng nghiêm trọng khác tiềm ẩn rủi ro đáng kể cho các tổ chức trên toàn cầu.
Chu kỳ cập nhật bảo mật tháng 7 năm 2025 đánh dấu một đợt vá lỗi quy mô lớn với 14 lỗ hổng được xếp hạng là “Critical” (Nghiêm trọng). Trong số các lỗ hổng nghiêm trọng này, 10 lỗ hổng liên quan đến thực thi mã từ xa (Remote Code Execution – RCE), một lỗ hổng tiết lộ thông tin, và hai lỗ hổng tấn công kênh phụ (side channel attack) ảnh hưởng đến bộ xử lý AMD. Tổng số lỗ hổng được vá trong chu kỳ này bao gồm:
- 14 lỗ hổng Critical
- 116 lỗ hổng Important
- 1 lỗ hổng Moderate
Các con số này không bao gồm bốn vấn đề liên quan đến Mariner và ba vấn đề liên quan đến Microsoft Edge đã được giải quyết riêng biệt vào đầu tháng.
Điểm Nổi Bật: Lỗ hổng Zero-Day trong Microsoft SQL Server
Mối đe dọa đáng kể nhất được vá trong tháng này là CVE-2025-49719, một lỗ hổng zero-day đã được công khai trong Microsoft SQL Server. Lỗ hổng này cho phép tiết lộ thông tin trái phép (unauthorized information disclosure).
Cụ thể, lỗ hổng phát sinh do việc kiểm tra đầu vào không đúng cách (improper input validation) trong SQL Server. Điều này cho phép kẻ tấn công từ xa, không cần xác thực (unauthenticated attackers), truy cập vào dữ liệu từ các vùng bộ nhớ chưa được khởi tạo (uninitialized memory). Việc tiết lộ dữ liệu từ các vùng bộ nhớ này có thể bao gồm thông tin nhạy cảm hoặc cấu hình hệ thống, gây nguy cơ nghiêm trọng về bảo mật và quyền riêng tư.
Microsoft ghi nhận công lao phát hiện lỗ hổng này cho Vladimir Aleksic, tuy nhiên, hãng không công bố chi tiết về cách lỗ hổng này trở nên công khai.
Để khắc phục lỗ hổng CVE-2025-49719, các tổ chức cần cài đặt phiên bản mới nhất của Microsoft SQL Server cùng với Microsoft OLE DB Driver 18 hoặc 19. Việc triển khai bản vá này là ưu tiên hàng đầu để bảo vệ dữ liệu trên các hệ thống SQL Server.
Lỗ hổng RCE trong Microsoft Office
Người dùng Microsoft Office đối mặt với rủi ro đáng kể từ nhiều lỗ hổng RCE nghiêm trọng. Những lỗ hổng này có thể bị khai thác chỉ bằng cách mở các tài liệu độc hại hoặc thậm chí xem chúng qua ngăn xem trước (preview pane). Khả năng khai thác dễ dàng này làm tăng nguy cơ lây nhiễm phần mềm độc hại và kiểm soát hệ thống từ xa.
Microsoft đã cảnh báo rằng các bản cập nhật bảo mật cho những lỗ hổng này chưa có sẵn cho các phiên bản Microsoft Office LTSC cho Mac 2021 và 2024. Tuy nhiên, hãng cam kết sẽ phát hành chúng trong thời gian ngắn.
Môi trường SharePoint cũng nằm trong danh sách rủi ro với CVE-2025-49704, một lỗ hổng RCE nghiêm trọng khác. Lỗ hổng này có thể bị khai thác từ xa qua Internet bởi người dùng đã xác thực (authenticated users). Mối lo ngại đặc biệt đối với các tổ chức có triển khai SharePoint được truy cập bởi người dùng bên ngoài, vì việc có thể khai thác từ xa qua Internet làm tăng bề mặt tấn công đáng kể.
Các Lỗ hổng trong Thành phần Core của Windows
Các bản cập nhật tháng 7 giải quyết nhiều lỗ hổng nghiêm trọng trên các thành phần cốt lõi của Windows, bao gồm:
- Windows KDC Proxy Service (KPSSVC): Lỗ hổng CVE-2025-49735 được đánh giá là Critical RCE. Lỗ hổng này ảnh hưởng đến dịch vụ trung gian cho giao thức Kerberos, có thể cho phép kẻ tấn công thực thi mã tùy ý trên hệ thống bị ảnh hưởng nếu không được vá kịp thời.
- Windows Hyper-V: Các môi trường ảo hóa Hyper-V đối mặt với rủi ro từ CVE-2025-48822, một lỗ hổng RCE nghiêm trọng trong tính năng Discrete Device Assignment (DDA). Lỗ hổng này có thể cho phép kẻ tấn công thực thi mã trên hệ thống máy chủ vật lý từ một máy ảo, phá vỡ ranh giới bảo mật của môi trường ảo hóa.
- Windows Imaging Component: Bị ảnh hưởng bởi CVE-2025-47980, một lỗ hổng tiết lộ thông tin (Critical information disclosure). Lỗ hổng này có thể cho phép kẻ tấn công truy cập vào thông tin nhạy cảm từ các tệp hình ảnh hoặc quá trình xử lý hình ảnh.
- SPNEGO Extended Negotiation: Đối mặt với lỗ hổng RCE nghiêm trọng được theo dõi là CVE-2025-47981. Lỗ hổng này có thể bị khai thác trong quá trình thương lượng giao thức xác thực, dẫn đến khả năng thực thi mã từ xa.
Lỗ hổng AMD Side Channel Attacks
Tháng này, Microsoft cũng đã vá hai lỗ hổng Critical ảnh hưởng đến bộ xử lý AMD, cả hai đều liên quan đến các cuộc tấn công kênh phụ (side channel attacks):
- CVE-2025-36357: Ảnh hưởng đến L1 Data Queue của bộ xử lý AMD.
- CVE-2025-36350: Ảnh hưởng đến Store Queue của bộ xử lý AMD.
Cả hai lỗ hổng này đều liên quan đến Transient Scheduler Attacks (tấn công lập lịch thoáng qua). Những lỗ hổng kênh phụ này tiềm ẩn nguy cơ cho phép kẻ tấn công trích xuất thông tin nhạy cảm từ các bộ xử lý AMD, bao gồm khóa mã hóa, dữ liệu người dùng, hoặc các thông tin bí mật khác thông qua việc quan sát các hoạt động vi kiến trúc không mong muốn.
Cập nhật bảo mật từ các nhà cung cấp khác
Chu kỳ Patch Tuesday tháng 7 năm 2025 của Microsoft trùng khớp với thời điểm các nhà cung cấp khác cũng phát hành bản cập nhật bảo mật. Điển hình, Google đã vá một lỗ hổng zero-day đang bị khai thác tích cực (CVE-2025-6554) trong trình duyệt Chrome. Ngoài ra, các công ty lớn khác như Cisco, Fortinet, Ivanti và SAP cũng đã công bố các bản vá bảo mật riêng của họ, phản ánh thách thức an ninh mạng liên tục mà ngành công nghiệp công nghệ đang phải đối mặt.
Khuyến nghị và Triển khai Bản vá
Các chuyên gia bảo mật khuyến nghị mạnh mẽ việc triển khai bản vá ngay lập tức, đặc biệt là đối với lỗ hổng zero-day trong SQL Server và các lỗ hổng Office nghiêm trọng. Do tính chất và mức độ nghiêm trọng của các lỗ hổng này, việc trì hoãn cập nhật có thể khiến hệ thống của tổ chức dễ bị tấn công.
Các tổ chức nên ưu tiên thử nghiệm các bản vá trong môi trường phát triển trước khi triển khai chúng vào môi trường sản xuất. Điều này đặc biệt quan trọng trong đợt cập nhật tháng này do phạm vi rộng lớn của các bản vá, ảnh hưởng đến nhiều thành phần cốt lõi của Windows, các ứng dụng Office và hạ tầng máy chủ.
Patch Tuesday tháng 7 năm 2025 đại diện cho một trong những bản cập nhật bảo mật lớn nhất trong những tháng gần đây, nhấn mạnh tầm quan trọng cốt yếu của việc duy trì các quy trình quản lý bản vá mạnh mẽ. Điều này càng trở nên cần thiết khi các tác nhân đe dọa tiếp tục nhắm mục tiêu vào hệ sinh thái phần mềm phổ biến của Microsoft.
