Đã đến Patch Tuesday, và điều này có nghĩa là nhiều nhà cung cấp phần mềm đã phát hành các bản vá cho nhiều lỗ hổng bảo mật ảnh hưởng đến sản phẩm và dịch vụ của họ.
Microsoft đã phát hành bản sửa lỗi cho 59 lỗ hổng, bao gồm sáu lỗ hổng zero-day đang bị khai thác tích cực trong các thành phần Windows khác nhau, có thể bị lạm dụng để bỏ qua các tính năng bảo mật, leo thang đặc quyền và kích hoạt tình trạng tấn công từ chối dịch vụ (DoS).
Ngoài ra, Adobe đã phát hành các bản cập nhật cho Audition, After Effects, InDesign Desktop, Substance 3D, Bridge, Lightroom Classic và DNG SDK. Công ty cho biết họ không nhận thấy bất kỳ cuộc khai thác nào trong thực tế đối với các thiếu sót này.
SAP đã phát hành các bản sửa lỗi cho hai lỗ hổng nghiêm trọng, bao gồm một lỗi code injection trong SAP CRM và SAP S/4HANA (CVE-2026-0488, điểm CVSS: 9.9) mà một kẻ tấn công đã xác thực có thể sử dụng để chạy câu lệnh SQL tùy ý và dẫn đến việc xâm phạm toàn bộ cơ sở dữ liệu.
Lỗ hổng nghiêm trọng thứ hai là trường hợp thiếu kiểm tra ủy quyền trong SAP NetWeaver Application Server ABAP và ABAP Platform (CVE-2026-0509, điểm CVSS: 9.6) có thể cho phép người dùng đã xác thực, có đặc quyền thấp, thực hiện một số Remote Function Calls nền mà không cần ủy quyền S_RFC cần thiết.
Onapsis cho biết: "Để vá lỗ hổng, khách hàng phải triển khai bản cập nhật kernel và đặt một tham số cấu hình. Có thể cần điều chỉnh vai trò người dùng và cài đặt UCON để không làm gián đoạn các quy trình kinh doanh."
Cuối cùng, Intel và Google cho biết họ đã hợp tác để kiểm tra bảo mật của Intel Trust Domain Extensions (TDX) 1.5, phát hiện ra năm lỗ hổng trong mô-đun (CVE-2025-32007, CVE-2025-27940, CVE-2025-30513, CVE-2025-27572 và CVE-2025-32467), cùng với gần ba chục điểm yếu, lỗi và đề xuất cải tiến.
Google cho biết: "Intel TDX 1.5 giới thiệu các tính năng và chức năng mới giúp điện toán bảo mật tiến gần hơn đáng kể đến khả năng tương đương tính năng với các giải pháp ảo hóa truyền thống. Đồng thời, các tính năng này đã làm tăng độ phức tạp của một thành phần phần mềm có đặc quyền cao trong TCB [Trusted Computing Base]."
Các Bản Vá Phần Mềm Từ Các Nhà Cung Cấp Khác
Các bản cập nhật bảo mật cũng đã được các nhà cung cấp khác phát hành trong những tuần gần đây để khắc phục một số lỗ hổng, bao gồm —
- ABB
- Amazon Web Services
- AMD
- AMI
- Apple
- ASUS
- AutomationDirect
- AVEVA
- Broadcom (bao gồm VMware)
- Canon
- Check Point
- Cisco
- Citrix
- Commvault
- ConnectWise
- D-Link
- Dassault Systèmes
- Dell
- Devolutions
- dormakaba
- Drupal
- F5
- Fortinet
- Foxit Software
- FUJIFILM
- Fujitsu
- Gigabyte
- GitLab
- Google Android và Pixel
- Google Chrome
- Google Cloud
- Grafana
- Hikvision
- Hitachi Energy
- HP
- HP Enterprise (bao gồm Aruba Networking và Juniper Networks)
- IBM
- Intel
- Ivanti
- Lenovo
- Các bản phân phối Linux như AlmaLinux, Alpine Linux, Amazon Linux, Arch Linux, Debian, Gentoo, Oracle Linux, Mageia, Red Hat, Rocky Linux, SUSE, và Ubuntu
- MediaTek
- Mitsubishi Electric
- MongoDB
- Moxa
- Mozilla Firefox và Thunderbird
- n8n
- NVIDIA
- Phoenix Contact
- QNAP
- Qualcomm
- Ricoh
- Rockwell Automation
- Samsung
- Schneider Electric
- ServiceNow
- Siemens
- SolarWinds
- Splunk
- Spring Framework
- Supermicro
- Synology
- TP-Link
- WatchGuard
- Zoho ManageEngine
- Zoom, và
- Zyxel
