Theo đó, bản vá Patch Tuesday tháng 9 đã khắc phục 38 lỗ hổng leo thang đặc quyền; 22 lỗ hổng thực thi mã từ xa (RCE); 14 lỗ hổng tiết lộ thông tin; 04 lỗ hổng từ chối dịch vụ (DoS), 01 lỗ hổng giả mạo (Spoofing), 02 lỗ hổng vượt qua tính năng bảo mật (Bypass). Số lượng này không bao gồm các lỗ hổng Azure, Dynamics 365 FastTrack Implementation Assets, Mariner, Microsoft Edge và Xbox đã được khắc phục sớm vào đầu tháng này.

Microsoft cũng vá 8 lỗ hổng được đánh giá là nghiêm trọng, trong đó bao gồm 5 lỗ hổng RCE, 01 lỗ hổng tiết lộ thông tin và 02 leo thang đặc quyền.

CVE-2025-55234: Lỗ hổng leo thang đặc quyền SMB của Windows

Microsoft đã vá lỗ hổng zero-day leo thang đặc quyền trong máy chủ SMB bị khai thác thông qua các cuộc tấn công chuyển tiếp. “Kẻ tấn công khai thác thành công lỗ hổng CVE-2025-55234 có thể thực hiện các cuộc tấn công chuyển tiếp và dẫn đến leo thang đặc quyền”, Microsoft giải thích.

Gã khổng lồ công nghệ cho biết Windows đã bao gồm các thiết lập để tăng cường bảo mật cho máy chủ SMB trước mối đe dọa này, bao gồm kích hoạt SMB Server Signing và SMB Server Extended Protection for Authentication (EPA). Tuy nhiên, việc bật các tính năng này có thể gây ra sự cố về khả năng tương thích với các thiết bị và hệ thống cũ.

Trong bản vá tháng 9, Microsoft bổ sung tính năng audit để quản trị viên có thể kiểm tra mức độ tương thích trước khi áp dụng các cơ chế bảo mật, giúp đảm bảo hệ thống sẵn sàng và an toàn.

CVE-2024-21907: Lỗ hổng xử lý không đúng các điều kiện ngoại lệ trong Newtonsoft[.]Json

Lỗ hổng thứ hai zero-day thứ hai được khắc phục là CVE-2024-21907, lỗ hổng này bắt nguồn từ thư viện Newtonsoft[.]Json phiên bản trước 13.0.1 tích hợp trong SQL Server.

Theo Microsoft, dữ liệu được tạo ra và truyền đến phương thức JsonConvert[.]DeserializeObject có thể kích hoạt ngoại lệ StackOverflow dẫn đến DoS. Dù không phải là lỗ hổng mới và từng được công bố từ năm 2024, mức độ phổ biến của Newtonsoft[.]Json trong nhiều ứng dụng khiến Microsoft phải tích hợp phiên bản vá mới nhất của thư viện để đảm bảo an toàn cho SQL Server.

Dưới đây là danh sách đầy đủ các lỗ hổng đã được giải quyết trong bản cập nhật Patch Tuesday tháng 9/2025. Quý độc giả có thể xem mô tả đầy đủ về từng loại lỗ hổng và hệ thống bị ảnh hưởng tại đây

Hướng dẫn cập nhật bản vá tự động trên Windows

Bước 1: Kích chuột vào biểu tượng Windows cửa sổ hiện ra chọn vào Settings.

Bước 2: Cửa sổ hiện ra kích chọn Update & Security.

Bước 3: Cửa sổ hiện ra kích chọn Windows Update, tiếp theo chọn Check for updates.

Sau khi hoàn thành, tiến hành khởi động lại máy. Người dùng quan tâm hướng dẫn chi tiết cập nhật lỗ hổng có thể theo dõi quy trình cập nhật bản vá trên máy trạm tại đây.