Bản tin Patch Tuesday tháng 10/2025 vừa qua quả thực là một sự kiện đáng nhớ. Microsoft đã nỗ lực hết mình để vá càng nhiều lỗ hổng bảo mật càng tốt trên các sản phẩm sắp hết hạn vòng đời (EOL). Điều này bao gồm việc sửa 116 CVE trên Windows 10 và một con số khổng lồ 134 CVE trên Windows 11, vì đừng quên rằng Windows 11 22H2 Enterprise và Education cũng đã đến thời điểm EOL.

Microsoft cũng đã chấm dứt hỗ trợ bảo mật cho nhiều ứng dụng, bao gồm các phiên bản cũ của Office và Exchange Server. Điều này đặt ra câu hỏi: khi nào thì các phiên bản Windows Exchange Server tại chỗ (on-premises) sẽ thực sự biến mất? Theo những thông tin mới nhất, có vẻ như điều này sẽ không xảy ra sớm.

Windows 11 23H2 Pro sắp kết thúc vòng đời vào tuần tới

Câu chuyện dài về EOL, bắt đầu từ tháng trước, sẽ đi đến hồi kết vào tuần tới với bản cập nhật bảo mật cuối cùng cho Windows 11 23H2 Professional. Tuy nhiên, đừng quá lo lắng, vì Windows 11 23H2 Education và Enterprise vẫn còn một năm hỗ trợ nữa, đến ngày 10 tháng 11 năm 2026. Nếu bạn đã bỏ lỡ, hãy xem lại bài viết của tôi từ tháng trước, đề cập đến các bản cập nhật cuối cùng và các đường dẫn di chuyển được đề xuất cho Office 2016 và 2019, Exchange Server 2016 và 2019, và cuối cùng là Windows 10.

Các Bản cập nhật bảo mật mở rộng (ESU) đầu tiên cho Windows 10 22H2 sẽ xuất hiện trong tháng này cho những ai đã đăng ký. Không phải tất cả các phiên bản đều đã hết hạn EOL; Windows 10 Enterprise LTSC 2021 và Windows 10 IoT Enterprise LTSC 2021 vẫn còn vài năm hỗ trợ. Có một số báo cáo về việc các hệ thống này hiển thị cảnh báo EOL không chính xác sau khi áp dụng các bản cập nhật tháng 10, vì vậy hãy lưu ý, nhưng Microsoft tuyên bố đây không phải là vấn đề và các bản cập nhật tháng 11 sẽ được áp dụng bình thường.

CISA và NSA cùng đưa ra khuyến nghị bảo vệ các máy chủ Exchange đã hết hạn

Các thông báo về các phiên bản Exchange Server EOL đã được đưa ra trước các bản cập nhật bảo mật cuối cùng vào tháng trước, nhưng việc các tổ chức lớn chuyển từ máy chủ thư tại chỗ hoặc hỗn hợp sang cơ sở hạ tầng đám mây hoàn toàn do Microsoft 365 cung cấp thường là một quá trình chậm chạp, tốn kém và đau đớn.

Tin tức tràn ngập các bài viết chi tiết về số lượng máy chủ dễ bị tấn công trực tuyến và các cuộc tấn công liên quan đến chúng. Để đối phó, nhiều cơ quan an ninh bao gồm CISA, NSA, Ban Tín hiệu Úc và những cơ quan khác, đã kết hợp tài năng của họ và phát hành một tài liệu về Các phương pháp hay nhất về bảo mật Microsoft Exchange Server. Tài liệu này cung cấp các khuyến nghị và biện pháp giảm thiểu rủi ro bảo mật để tăng cường bảo mật cho các hệ thống Exchange Server tại chỗ và thường là EOL, trong khi các giải pháp thay thế đám mây hoặc nâng cấp đang được tiến hành.

Danh sách các khuyến nghị này không nhằm mục đích bao gồm tất cả, nhưng nó cung cấp một tài liệu tham khảo tuyệt vời cho những người đang trong quá trình chuyển đổi.

Lỗ hổng WSUS nghiêm trọng đang bị khai thác tích cực

Chúng ta đã thấy một bản phát hành bản vá lặp lại trong tháng này, đáng lẽ có thể được đưa vào bài viết tháng 8 của tôi có tựa đề Cố gắng, cố gắng nữa. Vào Patch Tuesday tháng 10, Microsoft đã phát hành bản sửa lỗi cho CVE-2025-59287 trong 7 KB cho các phiên bản Windows Server từ 2012 đến 2025. Lỗ hổng thực thi mã từ xa trong Windows Server Update Service (WSUS) có CVSS 3.1 là 9,8 và mức độ nghiêm trọng là Critical. Bản sửa lỗi này đã ảnh hưởng đến hot patching trên Windows Server 2025 và đã được phát hành lại trong bản cập nhật ngoài băng tần KB5070881 để giải quyết vấn đề.

Cũng có thông tin cho rằng có thể có một số thay đổi bổ sung xung quanh bản sửa lỗi cho lỗ hổng này. Bất kể, lỗ hổng này và các bản vá này xứng đáng được đặc biệt chú ý vì hai lý do. Thứ nhất, vẫn còn năm Sự cố đã biết được báo cáo trong KB, từ Active Directory đến các lo ngại liên tục về Hot Patch, vì vậy bạn sẽ muốn kiểm tra kỹ xem chúng có được cài đặt đúng cách hay không.

Thứ hai, và quan trọng hơn, CISA và những tổ chức khác đã báo cáo rằng hiện đang có khai thác tích cực lỗ hổng này và mã chứng minh khái niệm đã có sẵn. Nếu bạn chưa triển khai bản cập nhật này một mình, hãy đảm bảo rằng nó là một phần của chu kỳ vá tháng 11 của bạn.

Nhìn về phía trước đến tuần tới và dự báo, Microsoft đã thông báo rằng họ có một bản sửa lỗi cho sự cố Windows 11 24H2, trong đó bản cập nhật tích lũy sẽ không thành công do xung đột gói ngôn ngữ. Bản sửa lỗi này đã được cung cấp trong Bản xem trước vào tuần trước và sẽ có sẵn vào tuần tới trong các bản cập nhật chung.

Dự báo Patch Tuesday tháng 11 năm 2025

• Số lượng CVE sẽ giảm đáng kể trong tháng này. Chúng ta sẽ được nghỉ ngơi khỏi các bản cập nhật .NET framework và Exchange Server vào tuần tới. Bản cập nhật Windows SQL Server là có thể. Dự đoán các bản vá OS, Office và SharePoint như mong đợi mặc dù sẽ có ít tệp nhị phân hơn với ít phiên bản được hỗ trợ hơn.
• Adobe dường như xoay vòng ứng dụng Creative Cloud nào được cập nhật, vì vậy hãy dự đoán InDesign và Photoshop trong tháng này. Adobe Acrobat và Reader đã nhận được bản cập nhật vào tháng 9, vì vậy Adobe có thể muốn đảm bảo rằng chúng được cập nhật trước các kỳ nghỉ mua sắm với bản phát hành vào tuần tới.
• Apple đã cung cấp các bản cập nhật bảo mật lớn trên tất cả các hệ điều hành của họ và cho Safari vào ngày 3 tháng 11. Nếu bạn chưa làm, hãy đưa các bản cập nhật đó vào chu kỳ vá tháng 11 của bạn.
• Google đã phát hành Chrome beta 143.0.7499.17 cho Windows, Mac và Linux vào hôm nay, vì vậy hãy mong đợi phiên bản đó vào Patch Tuesday.
• Mozilla đã phát hành bản cập nhật bảo mật cho Firefox 144 vào ngày 30 tháng 10. Tôi hy vọng sẽ có một bản phát hành rộng rãi khác vào tuần tới và rất có thể là vào Patch Tuesday.

Patch Tuesday tháng 11 năm 2025 này có thể là bước đầu tiên hướng tới trạng thái bình thường mới. Có ít ứng dụng Microsoft hơn ở dạng độc lập, tại chỗ và ít phiên bản HĐH được hỗ trợ hơn (nếu bạn không bao gồm những ứng dụng có ESU). Tất cả chúng ta có thể hài lòng với việc quản lý ít bản cập nhật hơn, nhưng chúng ta sẽ xem nó diễn ra như thế nào vào tuần tới. Có thể hơi sớm, nhưng Chúc mừng Lễ Tạ ơn đến những bạn ở Hoa Kỳ.