Microsoft đã công bố hai lỗ hổng CVE nghiêm trọng trong bộ ứng dụng Office, cho phép kẻ tấn công thực thi mã tùy ý trên các hệ thống bị ảnh hưởng. Các lỗ hổng này, được tiết lộ vào ngày 9 tháng 9 năm 2025, đã được gán mã định danh CVE-2025-54910 và CVE-2025-54906. Chúng tác động đến Microsoft Office trên hệ điều hành Windows và có thể bị khai thác để chiếm quyền kiểm soát hoàn toàn máy tính mục tiêu.
Phân Tích Kỹ Thuật Lỗ Hổng CVE-2025-54910
CVE-2025-54910: Lỗi Tràn Bộ Đệm Heap-based
Lỗ hổng đầu tiên, định danh là CVE-2025-54910, là một lỗi tràn bộ đệm (heap-based buffer overflow) trong công cụ dựng hình của Office. Kẻ tấn công có thể kích hoạt lỗi này bằng cách lừa người dùng mở một tài liệu được chế tạo đặc biệt chứa nội dung độc hại. Việc khai thác thành công dẫn đến thực thi mã từ xa (remote code execution) trong ngữ cảnh của người dùng hiện tại.
Hậu quả tiềm tàng bao gồm cài đặt chương trình độc hại hoặc xóa dữ liệu. Microsoft đánh giá lỗ hổng CVE này ở mức độ Nghiêm Trọng (Critical), với điểm CVSS 3.1 cơ bản là 8.4 và điểm thời gian là 7.3. Để biết thêm chi tiết kỹ thuật về lỗ hổng này, bạn có thể tham khảo hướng dẫn vá lỗi của Microsoft.
CVE-2025-54906: Lỗ Hổng Use-After-Free
Cơ Chế và Tác Động của Lỗ Hổng CVE Use-After-Free
Lỗ hổng thứ hai, CVE-2025-54906, là một lỗi use-after-free trong thành phần xử lý các đối tượng nhúng. Để khai thác, kẻ tấn công phải dụ nạn nhân mở một tài liệu độc hại, khiến Office tham chiếu đến vùng bộ nhớ đã được giải phóng. Điều này dẫn đến thực thi mã tùy ý với đặc quyền của người dùng.
Mặc dù ít nghiêm trọng hơn một chút so với lỗi tràn bộ đệm, tác động cao nhất vẫn là remote code execution. Microsoft phân loại lỗ hổng CVE này ở mức độ Quan trọng (Important), gán cho nó điểm CVSS 3.1 cơ bản là 7.8 và điểm thời gian là 6.8. Thông tin chi tiết hơn về lỗ hổng này có thể được tìm thấy trên National Vulnerability Database (NVD).
Kịch Bản Khai Thác Lỗ Hổng và Mối Đe Dọa
Phương Thức Phân Phối và Hậu Quả
Cả hai lỗ hổng CVE đều có kịch bản khai thác tương tự nhau: chúng yêu cầu tương tác của người dùng để mở một tệp Office chứa mã độc. Không cần đặc quyền bổ sung hoặc cấu hình phức tạp. Kẻ tấn công thường phân phối các tệp độc hại này thông qua email lừa đảo (phishing) hoặc các trang web bị xâm nhập.
Một khi được thực thi, tải trọng (payload) có thể cài đặt mã độc, đánh cắp dữ liệu nhạy cảm hoặc tạo ra các backdoor dai dẳng. Khả năng đạt được remote code execution toàn diện khiến các lỗ hổng này trở thành mối đe dọa đáng kể đối với an toàn thông tin của người dùng và doanh nghiệp.
Biện Pháp Giảm Thiểu và Áp Dụng Bản Vá Bảo Mật
Khuyến Nghị Cập Nhật và Phòng Ngừa
Microsoft đã phát hành các bản vá bảo mật để khắc phục cả hai lỗ hổng CVE trên các phiên bản Office được hỗ trợ cho Windows. Các quản trị viên hệ thống và người dùng cuối nên áp dụng ngay lập tức các bản vá này thông qua Windows Update hoặc Microsoft Update Catalogue.
Việc bật tính năng cập nhật tự động sẽ đảm bảo các bản sửa lỗi trong tương lai được cài đặt kịp thời. CVE-2025-54910 và CVE-2025-54906 đại diện cho những rủi ro đáng kể có thể dẫn đến việc kiểm soát hoàn toàn hệ thống. Việc áp dụng kịp thời các bản vá bảo mật của Microsoft là biện pháp phòng thủ hiệu quả nhất.
Người dùng cũng cần cảnh giác cao độ đối với các nỗ lực lừa đảo và các nguồn tệp không đáng tin cậy để giảm thiểu khả năng bị khai thác từ các lỗ hổng CVE này.
