Microsoft đã khắc phục một lỗ hổng RCE nghiêm trọng CVE-2025-21298 (CVSS 9.8) trong bản cập nhật Patch Tuesday mới nhất, cho phép kẻ tấn công thực hiện thuejc thi mã từ xa trên các thiết bị Windows thông qua một email được tạo đặc biệt trong Microsoft Outlook.
Lỗ hổng này bắt nguồn từ công nghệ Windows Object Linking and Embedding (OLE), cho phép nhúng và liên kết tài liệu hoặc các đối tượng khác. Theo Microsoft, kẻ tấn công khai thác lỗ hổng bằng cách gửi một email độc hại cho nạn nhân.
Kẻ tấn công có thể khai thác bằng cách gửi email độc hại; chỉ cần mở hoặc xem trước email trong Outlook, mã độc có thể thực thi mà không cần tương tác thêm từ người dùng.
Microsoft đã phát hành bản vá và khuyến cáo người dùng nên cập nhật sớm nhất, bên cạnh đó, Microsoft cũng đưa ra một số biện pháp giảm thiểu rủi ro cho người dùng chưa thể áp dụng bản vá ngay lập tức, bao gồm đọc email dưới dạng Plain Text, tránh RTF từ nguồn không tin cậy và hạn chế quyền người dùng theo Principle of Least Privilege.
