Microsoft vá kỷ lục 206 lỗ hổng bảo mật, gồm 3 zero-day

[Nguyễn Tiến Đạt]

Microsoft vừa phát hành bản cập nhật bảo mật tháng 6/2026, khắc phục tổng cộng 206 lỗ hổng trên các sản phẩm của hãng. Trong đó có 39 lỗ hổng mức Nghiêm trọng, 167 lỗ hổng mức Quan trọng và 3 lỗ hổng zero-day đã được công khai trước khi có bản vá.

Đáng chú ý nhất là các lỗ hổng thực thi mã từ xa (RCE) có điểm CVSS 9.8 như CVE-2026-45657 trong nhân Windows, CVE-2026-47291 ảnh hưởng đến HTTP.sys và CVE-2026-44815 trong Windows DHCP Client. Các lỗ hổng này có thể bị khai thác qua mạng mà không cần đăng nhập hoặc tương tác từ người dùng.

Microsoft cũng vá nhiều lỗ hổng liên quan đến BitLocker, bao gồm CVE-2026-45585 và CVE-2026-50507, cho phép kẻ tấn công có quyền truy cập vật lý vào thiết bị vượt qua cơ chế bảo vệ dữ liệu được mã hóa.

Ngoài ra, hãng đã khắc phục CVE-2026-49160, một lỗ hổng từ chối dịch vụ trong HTTP.sys liên quan đến kỹ thuật tấn công HTTP2/Bomb có thể làm cạn kiệt bộ nhớ máy chủ chỉ trong thời gian ngắn.

Các chuyên gia nhận định số lượng lỗ hổng được phát hiện ngày càng tăng một phần do việc ứng dụng trí tuệ nhân tạo (AI) vào quá trình tìm kiếm và phân tích lỗi bảo mật. Microsoft khuyến nghị người dùng và doanh nghiệp cập nhật bản vá mới nhất càng sớm càng tốt để giảm thiểu rủi ro bị tấn công.

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview