Microsoft tung bản vá khẩn cho lỗ hổng bảo mật nghiêm trọng trong Office
Một lỗ hổng bảo mật nguy hiểm vừa được phát hiện trong Microsoft Office, buộc Microsoft phải phát hành bản vá khẩn và kêu gọi người dùng cập nhật ngay lập tức.
Microsoft mới đây đã công bố một bản vá bảo mật khẩn cấp, cảnh báo về một lỗ hổng bảo mật zero-day nghiêm trọng tồn tại trong các ứng dụng Office.
Lỗ hổng này được định danh là CVE-2026-21509 và được Microsoft xếp vào mức rủi ro “cao”, đồng nghĩa với việc nó có thể bị khai thác trong thực tế và gây ảnh hưởng lớn đến người dùng.
Những phiên bản Office nào bị ảnh hưởng?
Theo thông báo chính thức, lỗ hổng CVE-2026-21509 ảnh hưởng đến nhiều phiên bản Office đang được sử dụng rộng rãi, bao gồm Microsoft Office 2016, Microsoft Office 2019, Office 2021 LTSC và Office 2024 LTSC.
Điều đáng lo ngại là lỗ hổng này cho phép kẻ tấn công vượt qua một số cơ chế bảo mật của Office, từ đó mở đường cho các hành vi tấn công phức tạp hơn. Microsoft khuyến cáo người dùng trên các phiên bản nói trên cài đặt bản cập nhật bảo mật càng sớm càng tốt.
Lỗ hổng bảo mật này nguy hiểm như thế nào?
Microsoft cho biết tin tặc có thể khai thác lỗ hổng để chiếm quyền kiểm soát các công nghệ cốt lõi COM/OLE. Đây là hai công nghệ nền tảng của Windows, được Microsoft phát triển để các phần mềm có thể “nói chuyện” và làm việc với nhau một cách liền mạch.
Dù hãng chưa công bố chi tiết kỹ thuật về cách thức khai thác hay hậu quả cụ thể, việc liên quan đến COM/OLE cho thấy nguy cơ không hề nhỏ. Nếu bị lợi dụng thành công, lỗ hổng có thể trở thành bàn đạp để chạy mã độc, đánh cắp dữ liệu hoặc mở rộng quyền kiểm soát trong hệ thống.
Làm thế nào để cập nhật bản vá bảo mật?
Microsoft cho biết cách cập nhật sẽ khác nhau tùy vào phiên bản Office mà người dùng đang sử dụng.
Với các phiên bản Office mới (2021 LTSC trở lên): Các bản cập nhật bảo mật sẽ được tự động phân phối thông qua hệ thống cập nhật của Office. Người dùng nên đảm bảo Office đã được cập nhật lên phiên bản 16.0.10417.20095 và khởi động lại các ứng dụng Office để bản vá có hiệu lực đầy đủ.
Với các phiên bản Office cũ (2016 và 2019): Người dùng cần cập nhật thủ công bằng cách tải các bản vá tương ứng từ Danh mục cập nhật của Microsoft. Microsoft đã cung cấp các gói cập nhật riêng cho từng phiên bản để người dùng cài đặt trực tiếp.
Nếu người dùng không thể cập nhật thì sao?
Trong trường hợp người dùng không thể cập nhật Office ngay lập tức (do hạn chế hệ thống hoặc môi trường doanh nghiệp), Microsoft đưa ra một biện pháp tạm thời nâng cao, yêu cầu chỉnh sửa Registry của Windows nhằm giảm nguy cơ bị khai thác.
Tuy nhiên, đây là giải pháp mang tính kỹ thuật cao và chỉ nên thực hiện bởi người có chuyên môn hoặc bộ phận IT. Microsoft khuyến nghị người dùng tham khảo kỹ phần “Biện pháp khắc phục” trong cảnh báo bảo mật chính thức trước khi thực hiện.
Lời cảnh báo cho người dùng Office
Việc Microsoft phải phát đi cảnh báo về lỗ hổng bảo mật zero-day cho thấy mức độ nghiêm trọng của lỗ hổng lần này. Trong bối cảnh Office vẫn là bộ công cụ văn phòng phổ biến nhất thế giới, việc chậm trễ cập nhật có thể khiến người dùng trở thành mục tiêu của các cuộc tấn công tinh vi.
Lời khuyên đơn giản nhưng quan trọng nhất là hãy kiểm tra và cập nhật Microsoft Office ngay lập tức. Chỉ một bản vá nhỏ cũng có thể giúp bạn tránh được những rủi ro lớn về dữ liệu, tài chính và an ninh hệ thống./.