Các lỗ hổng bảo mật được công bố và sự kiện an ninh mạng đáng chú ý trong tháng 6
Xem nhanh
Hôm nay là bản cập nhật Patch Tuesday tháng 6 năm 2026 của Microsoft, với các bản cập nhật bảo mật cho 200 lỗ hổng, bao gồm 5 lỗ hổng zero-day đã được công bố công khai và 1 lỗ hổng đang bị khai thác tích cực trong các cuộc tấn công.
Bản vá Patch Tuesday lần này giải quyết 33 lỗ hổng "Nghiêm trọng" (Critical), trong đó 28 lỗ hổng là thực thi mã từ xa, 4 lỗ hổng là leo thang đặc quyền và 1 lỗ hổng tiết lộ thông tin.
Số lượng lỗi trong từng danh mục lỗ hổng được liệt kê dưới đây:
Khi BleepingComputer đưa tin về các bản cập nhật bảo mật Patch Tuesday, chúng tôi chỉ tính những bản cập nhật được Microsoft phát hành trong ngày hôm nay.
Do đó, số lượng lỗi này không bao gồm các lỗ hổng trong Mariner, Azure HorizonDB, Microsoft Copilot, Copilot Chat, M365 Copilot, Microsoft Exchange Online và Microsoft Graph đã được Microsoft khắc phục hồi đầu tháng.
Ngoài ra, còn có một con số khổng lồ lên tới 360 lỗ hổng Microsoft Edge/Chromium đã được Google khắc phục trong tháng này, những lỗ hổng này cũng được loại trừ khỏi bản tóm tắt Patch Tuesday lần này.
Để tìm hiểu thêm về các bản cập nhật phi bảo mật được phát hành hôm nay, bạn có thể xem lại các bài viết chuyên đề của chúng tôi về các bản cập nhật tích lũy Windows 11 KB5094126 & KB5093998 và bản cập nhật bảo mật mở rộng Windows 10 KB5094127.
Microsoft vá 5 lỗ hổng zero-day
Bản cập nhật Patch Tuesday tháng này khắc phục sáu lỗ hổng zero-day, với năm lỗ hổng đã được công bố công khai và một lỗ hổng đang bị khai thác trong các cuộc tấn công.
Microsoft phân loại một lỗ hổng zero-day là đã bị công bố công khai hoặc đang bị khai thác tích cực khi chưa có bản vá chính thức nào được phát hành.
Các lỗ hổng zero-day được giải quyết trong bản cập nhật Patch Tuesday tháng này bao gồm:
Các bản cập nhật gần đây từ các hãng khác
Các nhà cung cấp khác cũng đã phát hành các bản cập nhật hoặc advisory trong tháng 6/2026, bao gồm:
Dưới đây là danh sách đầy đủ các lỗ hổng đã được giải quyết trong các bản cập nhật Patch Tuesday tháng 06 năm 2026.
| Tag | CVE ID | CVE Title | Severity |
| Active Directory Domain Services | CVE-2026-45648 | Windows Active Directory Domain Services Remote Code Execution Vulnerability | Critical |
| Linux MANA Driver | CVE-2026-45476 | Microsoft Azure Network Adapter Elevation of Privilege Vulnerability | Critical |
| Microsoft Azure Attestation service and Device Health Attestation Service | CVE-2026-33828 | Windows Device Health Attestation (DHA) Elevation of Privilege Vulnerability | Critical |
| Microsoft Azure Kubernetes Service | CVE-2026-32193 | Azure Kubernetes Service (AKS) Remote Code Execution Vulnerability | Critical |
| Microsoft Office | CVE-2026-45463 | Microsoft Office Remote Code Execution Vulnerability | Critical |
| Microsoft Office | CVE-2026-45474 | Microsoft Office Remote Code Execution Vulnerability | Critical |
| Microsoft Office | CVE-2026-45472 | Microsoft Office Remote Code Execution Vulnerability | Critical |
| Microsoft Office | CVE-2026-45458 | Microsoft Outlook and Word Remote Code Execution Vulnerability | Critical |
| Microsoft Office | CVE-2026-45460 | Microsoft Office Information Disclosure Vulnerability | Critical |
| Microsoft Office | CVE-2026-47635 | Microsoft Outlook and Word Remote Code Execution Vulnerability | Critical |
| Microsoft Office | CVE-2026-45456 | Microsoft Outlook and Word Remote Code Execution Vulnerability | Critical |
| Microsoft Office | CVE-2026-45461 | Microsoft Office Remote Code Execution Vulnerability | Critical |
| Nuance PowerScribe | CVE-2026-26142 | Nuance PowerScribe Remote Code Execution Vulnerability | Critical |
| Remote Desktop Client | CVE-2026-42985 | Remote Desktop Client Remote Code Execution Vulnerability | Critical |
| Remote Desktop Client | CVE-2026-47289 | Remote Desktop Client Remote Code Execution Vulnerability | Critical |
| Remote Desktop Client | CVE-2026-47654 | Remote Desktop Client Remote Code Execution Vulnerability | Critical |
| Remote Desktop Client | CVE-2026-42992 | Remote Desktop Client Remote Code Execution Vulnerability | Critical |
| Remote Desktop Client | CVE-2026-44801 | Remote Desktop Client Remote Code Execution Vulnerability | Critical |
| Remote Desktop Client | CVE-2026-44799 | Remote Desktop Client Remote Code Execution Vulnerability | Critical |
| Remote Desktop Client | CVE-2026-48563 | Remote Desktop Client Remote Code Execution Vulnerability | Critical |
| Role: Windows Hyper-V | CVE-2026-45641 | Windows Hyper-V Remote Code Execution Vulnerability | Critical |
| Windows Cryptographic Services | CVE-2026-44810 | Microsoft Cryptographic Services Elevation of Privilege Vulnerability | Critical |
| Windows Deployment Services | CVE-2026-42987 | Windows Deployment Services (WDS) Remote Code Execution | Critical |
| Windows DHCP Client | CVE-2026-44815 | DHCP Client Service Remote Code Execution Vulnerability | Critical |
| Windows HTTP.sys | CVE-2026-47291 | HTTP.sys Remote Code Execution Vulnerability | Critical |
| Windows Hyper-V | CVE-2026-47652 | Windows Hyper-V Remote Code Execution Vulnerability | Critical |
| Windows Hyper-V | CVE-2026-45607 | Windows Hyper-V Remote Code Execution Vulnerability | Critical |
| Windows Kerberos | CVE-2026-47288 | Windows Kerberos Key Distribution Center (KDC) Remote Code Execution | Critical |
| Windows Kernel | CVE-2025-10263 | ARM: CVE-2025-10263 Completion of affected memory accesses might not be guaranteed by completion of a TLBI [kernel] | Critical |
| Windows Kernel | CVE-2026-45657 | Windows Kernel Remote Code Execution Vulnerability | Critical |
| Windows Media | CVE-2026-48574 | Windows Media Remote Code Execution Vulnerability | Critical |
| Windows Win32K - GRFX | CVE-2026-44812 | Windows Graphics Component Remote Code Execution Vulnerability | Critical |
| Windows Win32K - GRFX | CVE-2026-44803 | Windows Graphics Component Remote Code Execution Vulnerability | Critical |
🔗 Chi tiết về từng loại lỗ hổng và bản vá có thể xem thêm tại Tuesday Patch, paper.
| CVE | Mô tả lỗ hổng |
| CVE-2026-53853 | Các phiên bản OpenClaw trước 2026.5.12 chứa một lỗ hổng vượt qua tính năng xác thực mẫu tham số (argument pattern validation bypass) trong danh sách cho phép thực thi (exec allowlist). Lỗ hổng này cho phép những kẻ tấn công thực thi các tham số không được phép đối với các tệp thực thi đã nằm trong danh sách cho phép trên các hệ thống Linux và macOS.
Kẻ tấn công có thể vượt qua các hạn chế argPattern đã được cấu hình bằng cách gọi trực tiếp các tệp thực thi trong danh sách cho phép cùng với các tham số không bị giới hạn. Điều này có nguy cơ tạo điều kiện cho các hành vi truy cập tệp, truy cập mạng hoặc thực thi lệnh trái phép. |
| CVE-2026-24228 | NVIDIA NeMo Framework trên Linux chứa một lỗ hổng cho phép kẻ tấn công thực hiện quá trình giải mã tuần tự hóa (deserialization) đối với các dữ liệu không đáng tin cậy. Việc khai thác thành công lỗ hổng này có thể dẫn đến nguy cơ thực thi mã, leo thang đặc quyền, thay đổi dữ liệu trái phép (tampering) và tiết lộ thông tin. |
| CVE-2026-46331 | Trong nhân Linux, lỗ hổng net/sched gây hỏng bộ nhớ đệm trang do lỗi COW (Copy-On-Write) một phần của pedit đã được khắc phục. Nguyên nhân bắt nguồn từ việc hàm tcf_pedit_act() tính toán sai phạm vi COW trước vòng lặp do bỏ qua các độ lệch (offset) phát sinh lúc thực thi, khiến một phần vùng nhớ không được xử lý COW an toàn. Lỗi này được sửa bằng cách di chuyển skb_ensure_writable() vào bên trong vòng lặp của từng khóa để xác định độ lệch ghi chính xác, đồng thời bổ sung cơ chế kiểm tra tràn (overflow). Ngoài ra, bản vá sử dụng skb_cow() để xử lý các độ lệch âm (như chỉnh sửa Ethernet header) và bảo vệ hàm offset_valid() khỏi lỗi không xác định với giá trị INT_MIN. |
🔗 Chi tiết về các lỗ hổng có thể xem tại Advisories.
| CVE | Mô tả lỗ hổng |
| CVE-2026-41724 | VMware Cloud Foundation Operations chứa nhiều lỗ hổng kịch bản chéo trang được lưu trữ (stored cross-site scripting). Một kẻ tấn công có đặc quyền tạo các chính sách (policies), giao diện (views) hoặc tiện ích văn bản (text-widgets) có thể lợi dụng lỗ hổng này để chèn mã độc nhằm thực thi các hành động quản trị trái phép ngay trên hệ thống. |
| CVE-2026-41723 | VMware Cloud Foundation Operations chứa nhiều lỗ hổng Cross-Site Scripting (XSS) dạng lưu trữ. Một kẻ tấn công có đặc quyền tạo các chính sách, giao diện (views) hoặc tiện ích văn bản có thể chèn các đoạn mã kịch bản (script) độc hại nhằm thực thi các hành động quản trị trái phép ngay bên trong hệ thống VMware Cloud Foundation Operations. |
| CVE-2026-41722 | VMware Cloud Foundation Operations chứa nhiều lỗ hổng kịch bản chéo trang lưu trữ (stored XSS). Một kẻ tấn công có đặc quyền tạo các chính sách, giao diện hiển thị hoặc tiện ích văn bản có thể lợi dụng điều này để chèn mã độc nhằm thực thi các hành động quản trị trái phép ngay trên hệ thống. |
🔗 Chi tiết về các bản vá có thể xem tại Advisories
Lỗ hổng bảo mật trong SDK Python của Google Cloud Vertex AI cho phép tin tặc chiếm đoạt quá trình tải lên mô hình học máy và thực thi mã độc trên hạ tầng của Google mà không cần bất kỳ quyền truy cập nào vào dự án của nạn nhân. Bằng kỹ thuật "Bucket Squatting" (đầu cơ không gian lưu trữ), kẻ tấn công tạo trước một vùng lưu trữ đám mây (bucket) có tên dễ đoán trùng khớp với cấu trúc tên mặc định của dự án mục tiêu. Khi nạn nhân tải mô hình lên mà không chỉ định rõ nơi lưu trữ (staging_bucket), SDK sẽ tự động đẩy dữ liệu vào không gian của kẻ tấn công. Lợi dụng khe hở này, tin tặc nhanh chóng tráo đổi mô hình gốc bằng một mô hình chứa mã độc trong chưa đầy 2 giây. Khi Vertex AI khởi chạy mô hình đã bị tráo, mã độc sẽ thực thi, giúp kẻ tấn công đánh cắp token OAuth, chiếm đoạt các mô hình AI khác và truy cập trái phép vào siêu dữ liệu nội bộ.
Cuộc tấn công mang tên "Pickle in the Middle" do Unit 42 phát hiện này tuy chưa bị khai thác trong thực tế nhưng cho thấy mức độ rủi ro cao khi người dùng hoàn toàn phụ thuộc vào các thiết lập mặc định. Hiện tại, Google đã khắc phục hoàn toàn sự cố bằng cách thêm chuỗi ký tự ngẫu nhiên vào tên vùng lưu trữ và bổ sung cơ chế xác minh quyền sở hữu. Để đảm bảo an toàn, các lập trình viên và doanh nghiệp được khuyến cáo phải cập nhật thư viện google-cloud-aiplatform lên phiên bản 1.148.0 trở lên trên mọi môi trường (notebook, CI/CD, pipeline huấn luyện), đồng thời luôn phải chủ động thiết lập tham số staging_bucket trỏ tới vùng lưu trữ đám mây do chính mình kiểm soát.
🔗 Thông tin chi tiết hơn xem thêm tại đây, Dịch vụ sao lưu dữ liệu đám mây - FPT Cloud: Sao lưu và khôi phục dữ liệu tức thời, an toàn và toàn vẹn dữ liệu.
Các chiến dịch lừa đảo ClickFix đang mở rộng quy mô phát tán mã độc thông qua ba trình tải (loader) mới được phát hiện là BabaDeda, Lorem Ipsum và Potemkin. Kỹ thuật tấn công này khai thác yếu tố tâm lý con người bằng cách hiển thị các cảnh báo giả mạo như cập nhật trình duyệt, xác minh bot hoặc cài đặt phần mềm AI (ví dụ: Claude), từ đó lừa nạn nhân tự sao chép và chạy các lệnh PowerShell hoặc Terminal độc hại. Cụ thể, trình tải BabaDeda nhắm vào các tổ chức giáo dục và tài chính để bí mật triển khai các phần mềm đánh cắp thông tin và Trojan truy cập từ xa (như DanaBot, SectopRAT). Trong khi đó, Lorem Ipsum Loader lây nhiễm qua các trang WordPress bị xâm nhập, tạo bàn đạp để nhóm tội phạm Vanilla Tempest phát tán mã độc tống tiền Rhysida. Tinh vi nhất là Potemkin, một trình tải sử dụng thuật toán tạo tên miền (DGA) để cài đặt EtherRAT và RMMProject, giúp tin tặc vượt qua hàng rào bảo mật của trình duyệt, đánh cắp thông tin đăng nhập và kiểm soát toàn bộ mạng nội bộ.
Sự chuyển dịch sang các kỹ thuật như ClickFix cho thấy khả năng thích ứng nhanh chóng của tội phạm mạng, đặc biệt là sau khi Microsoft triệt phá đường dây cung cấp chứng chỉ mã hóa giả mạo, buộc chúng phải tìm cách lây nhiễm không cần chữ ký số. Kỹ thuật lừa đảo dán lệnh này chứng minh sự hiệu quả đáng sợ trên cả hệ điều hành Windows lẫn macOS (với các mã độc như Phexia Stealer hay HellsUchecker) vì nó trông giống hệt các bước khắc phục sự cố kỹ thuật hợp lệ. Trước mối đe dọa ngày càng tăng từ việc người dùng vô tình sao chép lệnh từ các trang web độc hại vào hệ thống, Apple đã phải tích hợp một cơ chế cảnh báo bảo mật mới trên hệ điều hành macOS Tahoe 26.4 nhằm ngăn chặn người dùng vô tình thực thi các lệnh phá hoại quyền riêng tư và thiết bị của họ.
🔗 Thông tin chi tiết hơn xem thêm tại đây, Dịch vụ sao lưu dữ liệu đám mây - FPT Cloud: Sao lưu và khôi phục dữ liệu tức thời, an toàn và toàn vẹn dữ liệu.
Liên hệ với chúng tôi để được tư vấn: