Microsoft

Trung tuần tháng 11, Microsoft đã phát hành bản vá Patch Tuesday để giải quyết 63 lỗ hổng bảo mật trong các sản phẩm của mình, 04 lỗ hổng trong số này được đánh giá nghiêm trọng.

Cụ thể, 63 lỗ hổng được khắc phục trong bản vá Patch Tuesday tháng 11 bao gồm: 29 lỗ hổng leo thang đặc quyền; 16 lỗ hổng thực thi mã từ xa; 11 lỗ hổng tiết lộ thông tin; 03 lỗ hổng từ chối dịch vụ; 02 lỗ hổng giả mạo và 02 lỗ hổng bypass tính năng bảo mật. Số lượng này không bao gồm các lỗ hổng Mariner và Microsoft Edge đã được khắc phục sớm vào đầu tháng này.

Bản vá bảo mật tháng 11 cũng đã giải quyết 01 lỗ hổng zero-day (CVE-2025-62215) đang bị khai thác tích cực. Việc hai hoặc nhiều luồng hệ thống cùng truy cập và thay đổi một tài nguyên chia sẻ như một biến, một vùng bộ nhớ mà không có sự đồng bộ hóa đúng cách (race condition) trong Windows Kernel, cho phép kẻ tấn công được ủy quyền leo thang đặc quyền cục bộ.

Adobe

Cũng trong tháng 11, Adobe công bố 8 khuyến cáo bảo mật để khắc phục 29 lỗ hổng trong các sản phẩm của hãng, bao gồm InDesign, InCopy, Photoshop, Illustrator, Pass, Substance 3D Stager và Format Plugins. Trong đó, có đến 23 lỗ hổng được vá xếp hạng nghiêm trọng. Theo Adobe, việc khai thác thành công các lỗ hổng này có thể dẫn đến thực thi mã tùy ý, bypass tính năng bảo mật và rò rỉ bộ nhớ.

Adobe cho biết không có bằng chứng nào cho thấy các lỗ hổng được vá trong tháng 11 đã bị khai thác trên thực tế. Công ty đã xếp hạng mức độ priority là “3” cho tất cả các lỗi được vá, điều này cho thấy chưa có khả năng xảy ra khai thác các lỗ hổng.

SAP

Ở một động thái khác, SAP phát hành bản vá Patch Tuesday tháng 11 để giải quyết 20 lỗ hổng bảo mật. Lỗ hổng nghiêm trọng nhất được vá là CVE-2025-42890 (điểm CVSS: 10.0), liên quan đến lỗi quản lý khóa và secret không an toàn trong SQL Anywhere Monitor. Sự cố tồn tại do thông tin đăng nhập được mã hóa cứng trong SQL Anywhere Monitor có thể bị khai thác để thực thi mã tùy ý trên các hệ thống bị ảnh hưởng, tác động đến tính bảo mật, tính toàn vẹn và tính khả dụng của hệ thống. Theo công ty bảo mật ứng dụng doanh nghiệp Onapsis, để giải quyết vấn đề, SAP đã xóa hoàn toàn SQL Anywhere Monitor.

Bên cạnh đó, một lỗ hổng đáng chú ý khác đã được vá là CVE-2025-42887 (điểm CVSS: 9.9), một lỗi chèn mã nghiêm trọng trong Solution Manager. Lỗ hổng xuất phát từ một mô-đun chức năng được kích hoạt từ xa không kiểm tra dữ liệu đầu vào của người dùng, cho phép kẻ tấn công chèn và mã độc.

Ivanti

Trong tháng 11, Ivanti phát hành các bản cập nhật bảo mật nhằm khắc phục 03 lỗ hổng bảo mật ảnh hưởng đến các sản phẩm của hãng. Với mã định danh CVE-2025-10918, CVE-2025-11622 và CVE-2025-9713, các lỗ hổng này đều được đánh giá nghiêm trọng và ảnh hưởng đến Endpoint Manager 2024, phiên bản SU3 Security Release 1 và Endpoint Manager 2022, phiên bản SU8 Security Release 2 trở về trước.

Theo Ivanti cho biết, việc khai thác thành công có thể cho phép kẻ tấn công cục bộ được xác thực ghi đè các tệp tùy ý vào bất kỳ vị trí nào trên ổ đĩa. Hãng nhấn mạnh, người dùng cần ưu tiên cập nhật bản vá để khắc phục các lỗ hổng này càng sớm càng tốt.

Zoom

Trong một diễn biến tương tự, Zoom công bố 9 bản tin bảo mật để vá 9 lỗ hổng trong ứng dụng di động và máy tính để bàn. Các lỗ hổng nghiêm trọng được vá gồm CVE-2025-62484, CVE-2025-64741 và CVE-2025-64740, có thể dẫn đến leo thang đặc quyền. Hai lỗ hổng đầu tiên ảnh hưởng đến các ứng dụng iOS và Android của Zoom, trong khi lỗ hổng thứ ba được phát hiện trong Zoom Workplace VDI Client trên Windows.

Năm trong số các sự cố vừa được giải quyết ở mức độ trung bình có thể dẫn đến việc tiết lộ thông tin. Chúng ảnh hưởng đến các ứng dụng máy tính để bàn của Zoom dành cho Linux, macOS và Windows.

Lỗ hổng còn lại được phân loại là XSS trong Zoom Workplace và Meeting SDK trên Windows, có thể bị khai thác mà không cần xác thực, ảnh hưởng đến tính toàn vẹn của ứng dụng. Zoom không đề cập đến bất kỳ lỗ hổng nào trong số này đang bị khai thác ngoài thực tế.