Bên trong Bản vá tháng 6 lịch sử của Microsoft: 200 bản sửa lỗi và 3 lỗ hổng zero-day

Ba lỗ hổng zero-day đã bị công khai: Đâu là mối đe dọa thực sự?

Điều quan trọng cần lưu ý là không có lỗ hổng zero-day nào trong số ba lỗi này bị phát hiện là đã bị khai thác trong thực tế trước khi bản vá được phát hành .

CVE-2026-45586 — Lỗ hổng Leo thang Đặc quyền trong CTFMON (GreenPlasma)

Đây là một lỗi "theo liên kết" (link following) trong Khung Dịch thuật Cộng tác Windows (CTFMON), một tiến trình nền quen thuộc với người dùng Việt Nam khi gõ tiếng Việt hay các ngôn ngữ khác. Lỗi này cho phép kẻ tấn công đã xác thực có thể leo thang đặc quyền cục bộ lên cấp SYSTEM. Microsoft ghi nhận người báo cáo là ẩn danh, nhưng các nhà nghiên cứu bảo mật nhanh chóng liên kết nó với mã khai thác “GreenPlasma” bị công khai bởi nhà nghiên cứu có biệt danh Nightmare Eclipse (còn được biết đến trong các cuộc thảo luận với tên “Chaotic Eclipse”). Sự kiện công khai này là một phần của chiến dịch nhằm phản đối các chương trình thưởng lỗi (bug bounty) và tiết lộ lỗ hổng của Microsoft .

CVE-2026-49160 — Lỗ hổng Từ chối Dịch vụ trong HTTP.sys ("Bom HTTP/2")

Đây là một lỗ hổng tiêu thụ tài nguyên không kiểm soát (CWE-400) trong chồng giao thức HTTP/2, được gán điểm CVSS là 7.5. Nói một cách đơn giản, một kẻ tấn công từ xa không cần xác thực có thể gửi một lượng dữ liệu rất nhỏ nhưng đủ để ép máy chủ cấp phát một lượng lớn bộ nhớ một cách bất cân xứng. Bằng cách thao túng các thiết lập kiểm soát luồng (flow-control) của HTTP/2, kẻ tấn công có thể giữ chỗ bộ nhớ đó vô thời hạn, khiến máy chủ cạn kiệt tài nguyên . Phát hiện bởi Quang Luong và Codex of Calif.io, lỗ hổng này có thể khiến các máy chủ web bị ảnh hưởng phải ngừng hoạt động chỉ trong vài giây . Để giảm thiểu rủi ro, Microsoft đã giới thiệu một thiết lập registry mới mang tên MaxHeadersCount (được mô tả trong bản tin KB5102602) để giới hạn số lượng tiêu đề yêu cầu HTTP/2 và HTTP/3 .

CVE-2026-50507 — Lỗi Vượt qua Tính năng Bảo mật BitLocker (YellowKey)

Đây là một lỗi do cơ chế bảo vệ bị lỗi, cho phép kẻ tấn công không cần xác thực nhưng có quyền truy cập vật lý vào máy có thể vượt qua mã hóa BitLocker. Cụ thể, lỗ hổng khai thác Môi trường Phục hồi Windows (Windows Recovery Environment - WinRE) trên các ổ đĩa chỉ sử dụng chip TPM để bảo vệ. Đây là mã khai thác thứ hai từ chiến dịch của Nightmare Eclipse được vá trong tháng này, được biết đến với tên công khai là “YellowKey” .

Chiến dịch của Nightmare Eclipse: Cuộc biểu tình gây chấn động giới bảo mật

Nhà nghiên cứu Nightmare Eclipse đã công khai một loạt các lỗ hổng zero-day trên Windows—với những cái tên như BlueHammer, MiniPlasma, RedSun, UnDefend, GreenPlasma và YellowKey—để phản đối cách Microsoft xử lý các chương trình thưởng lỗi . Dù bản vá tháng Sáu đã xử lý GreenPlasma và YellowKey, ba lỗ hổng khác từ cùng chiến dịch này (BlueHammer, RedSun và UnDefend) đã được ghi nhận là bị khai thác thực tế vào đầu tháng, buộc Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) phải thêm chúng vào danh mục Các Lỗ hổng Đã biết Bị Khai thác của mình . Đối với người dùng tại Việt Nam, sự kiện này là một lời nhắc nhở mạnh mẽ về tầm quan trọng của việc cập nhật hệ điều hành ngay khi có bản vá, vì các lỗ hổng một khi đã bị công khai sẽ nhanh chóng trở thành mục tiêu của tin tặc.

Có gì mới trong các bản cập nhật tích lũy cho Windows 11?

Các bản cập nhật bắt buộc tháng Sáu cho Windows 11 không chỉ có các bản sửa lỗi bảo mật. Hai bản cập nhật tích lũy chính đã được phát hành: KB5094126 cho các phiên bản 25H2 (bản dựng 26200.8457) và 24H2 (bản dựng 26100.8457), và KB5093998 cho phiên bản 23H2 (bản dựng 22631.7079) . Microsoft cũng đã phát hành bản cập nhật bảo mật mở rộng, KB5094127, dành cho Windows 10 .

Các tính năng mới đáng chú ý trong bản cập nhật Windows 11 bao gồm :

• Chế độ Xbox (Xbox Mode): Một tính năng cho phép trải nghiệm giống như đang dùng máy chơi game Xbox ngay trên PC, hiện đang được triển khai cho nhiều thiết bị hơn.
• Chia sẻ Âm thanh (Shared Audio): Tính năng thú vị cho phép hai người cùng nghe một luồng âm thanh từ một chiếc PC thông qua Bluetooth LE Audio.
• Theo dõi NPU trong Task Manager: Ứng dụng Task Manager giờ đây sẽ hiển thị mức sử dụng NPU, bộ nhớ chuyên dụng/dùng chung và các số liệu khác cho các bộ xử lý thần kinh—một chi tiết hay cho những ai đang sử dụng các dòng chip AI mới.
• Camera Đa Ứng dụng (Multi-App Camera): Cho phép nhiều ứng dụng truy cập vào luồng camera cùng một lúc.
• Cải thiện Hiệu suất: Một cấu hình độ trễ thấp mới giúp tăng tốc độ khởi chạy ứng dụng và các tương tác với vỏ đồ họa (shell) như Start, Search và Action Center.
• Cải tiến Quá trình Cài đặt: Người dùng giờ đây có thể chọn tên tùy chỉnh cho thư mục người dùng của mình trong quá trình thiết lập Windows.

Bức tranh toàn cảnh về an ninh mạng: Adobe cùng vào cuộc

Cùng ngày hôm đó, Adobe đã phát hành 11 tư vấn bảo mật, vá tới 123 lỗ hổng trên các sản phẩm như Acrobat Reader, ColdFusion, InDesign và Experience Manager. Trong đó, 47 lỗi được đánh giá là Nghiêm trọng và có thể dẫn đến thực thi mã tùy ý, leo thang đặc quyền hoặc tấn công từ chối dịch vụ .

Tổng cộng, Microsoft và Adobe đã tung ra các bản sửa lỗi cho 329 lỗ hổng chỉ trong ngày 9 tháng 6 năm 2026 . Hệ sinh thái rộng lớn hơn cũng ghi nhận nhiều động thái, với việc Google đã vá một số lượng khổng lồ 360 lỗ hổng trong Microsoft Edge/Chromium vào đầu tháng—những lỗ hổng này nằm ngoài số liệu thống kê Patch Tuesday tiêu chuẩn . Người dùng Việt Nam, đặc biệt là những ai làm việc trong lĩnh vực thiết kế và xuất bản, nên nhanh chóng cập nhật các sản phẩm của Adobe để tự bảo vệ mình.