lỗ hổng

Các nhà nghiên cứu đã công bố một loạt các lỗ hổng nghiêm trọng trên các thiết bị router dòng ER2000 của ConnectedIO và nền tảng quản lý đám mây có thể bị kẻ tấn công khai thác để thực thi mã độc hại và truy cập vào dữ liệu nhạy cảm. Các lỗ hổng trong thiết bị router 3G/4G có thể làm rò rỉ...

HP vừa phát hành bản cập nhật BIOS nhằm khắc phục hai lỗ hổng nghiêm trọng ảnh hưởng đến loạt sản phẩm PC và notebook, cho phép hacker chạy mã với đặc quyền Kernel. Đặc quyền cấp Kernel là quyền cao nhất trong Windows, cho phép kẻ tấn công thực thi bất kỳ lệnh nào ở cấp Kernel, bao gồm cả thao...

Ngày Cá tháng tư (1/4) vừa qua, giới an ninh mạng không “Ét-O-Ét” bởi những lời nói dối mà đối diện với nỗi lo rất thật mang tên “vê kép Ét-O-Hai”. Lỗ hổng nghiêm trọng trên WSO2 có mức điểm CVSS gần “kịch trần” 9.8, mở đầu cho một tháng an ninh mạng nhiều hoang mang. Lỗ hổng CVE-2022-29464 ảnh...

QNAP vừa phát hành bản vá an ninh khắc phục một số lỗ hổng, một trong số đó cho phép hacker thực hiện từ xa các lệnh tùy ý trên hệ thống QVR - giải pháp giám sát video của hãng được lưu trữ trên thiết bị NAS. Hệ thống giám sát video QVR IP hỗ trợ nhiều kênh nguồn cấp dữ liệu và giải mã video...

Lỗ hổng an ninh CVE-2022-29464 ảnh hưởng rất lớn đến các sản phẩm phần mềm mã nguồn mở của WSO2 bao gồm API Manager, Identity Server, Enterprise Integrator cho phép đối tượng tấn công thực thi mã từ xa… Ngày 1/4/2022, WSO2 đã công bố lỗ hổng an ninh CVE-2022-29464 (WSO2-2021-1738) ảnh hưởng...

SonicWall đã phát hành các bản cập nhật bảo mật để ngăn chặn một lỗ hổng nghiêm trọng trên nhiều thiết bị tường lửa có thể bị hacker sử dụng để tấn công từ xa, gây ra tình trạng từ chối dịch vụ (DoS). Được theo dõi là CVE-2022-22274 (điểm CVSS: 9,4), sự cố được mô tả là lỗi tràn bộ đệm dựa...

Một nhà nghiên cứu an ninh mạng vừa công bố chi tiết về lỗ hổng Linux cho phép hacker ghi đè dữ liệu trong các tệp read-only tùy ý. Lỗ hổng CVE-2022-0847 được Max Kellermann phát hiện vào tháng 4/2021, nhưng phải mất vài tháng sau mới tìm ra điều gì đang thực sự diễn ra. Kellermann giải...

Hacker đang tích cực khai thác một lỗ hổng nghiêm trọng được tiết lộ thời gian gần đây trong Atlassian Confluence trên Windows và Linux. Khai thác thành công lỗ hổng cho phép triển khai web shell, từ đó thực thi các công cụ đào tiền điện tử trên các hệ thống bị xâm nhập. Lỗ hổng CVE-2021-26084...

Google vừa phát hành bản cập nhật khẩn cấp cho trình duyệt web Chrome để vá lỗ hổng zero-day được cho là đang bị khai thác trong thực tế. Lỗ hổng ảnh hưởng đến các phiên bản Chrome trên Windows, macOS và Linux. “Google biết về việc CVE-2021-37973 bị khai thác trong thực tế”, Google tiết lộ về...

Apple đã phát hành bản vá cho ba lỗ hổng trong cả macOS Catalina và iOS 12.5.5 hiện đang bị khai thác. CVE-2021-30869 là một lỗ hổng XNU được tìm thấy trong macOS, iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini-2, iPad mini-3 và iPod touch cho phép các ứng dụng độc thực thi mã tùy ý...

Hàng triệu người dùng có thể đã bị lộ thông tin cá nhân và thông tin thanh toán sau khi các nhà nghiên cứu phát hiện ra các lỗ hổng an ninh trên API ảnh hưởng đến nhiều ứng dụng. Hãng an ninh CloudSEK cho biết trong số 13.000 ứng dụng được tải lên "công cụ tìm kiếm an ninh" BeVigil dành cho các...

Các nhà nghiên cứu gần đây liệt kê một danh sách các lỗ hổng an ninh dễ bị khai bởi các băng đảng ransomware để tấn công vào các mục tiêu. Nhà nghiên cứu an ninh Pancak3 cho biết, danh sách này bao gồm các lỗ hổng đã bị tin tặc khai thác trước đó, cũng như các lỗ hổng đang bị tin tặc khai thác...

Ít nhất từ 3/9 đến 10/9, các kho lưu trữ mã nguồn mở sử dụng Travis CI đã để lộ khóa bí mật, thông tin đăng nhập và token. Travis CI cho phép các nhà phát triển tự động hóa các quy trình để kiểm tra và xây dựng phần mềm. Các nhà phát triển sử dụng hệ thống CI thường xử lý mật khẩu, token truy...

Các nhà nghiên cứu vừa phát hiện lỗ hổng mức nghiêm trọng cao (CVE-2021-3437) trong máy tính xách tay HP OMEN và máy tính để bàn chơi game, khiến hàng triệu hệ thống đứng trước nguy cơ tấn công DoS và leo thang đặc quyền. “Lỗ hổng được xác định trong gói OMEN Gaming Hub SDK, cho phép leo thang...

Pac-Resolver, một gói NPM phổ biến cho ngôn ngữ lập trình JavaScript vừa được cập nhật bản vá cho lỗ hổng thực thi mã từ xa nghiêm trọng cao. Lỗ hổng có thể bị lợi dụng để chạy mã độc bên trong các ứng dụng Node.js bất cứ khi nào có truy vấn HTTP. Lỗ hổng CVE-2021-23406, điểm CVSS 8,1, ảnh...

Cisco gần đây đã phát hành các bản vá an ninh mạng cho nhiều lỗ hổng nghiêm trọng cao trong phần mềm IOS XR và cảnh báo rằng những kẻ tấn công có thể khai thác những lỗi này để khởi động lại thiết bị, nâng cao đặc quyền hoặc ghi đè và đọc các tệp tùy ý. Lỗ hổng nghiêm trọng nhất được vá có...

Node.js phát hành bản cập nhật lớn cho gói npm "tar" (hay còn gọi là node-tar) để khắc phục 5 lỗ hổng nghiêm trọng, bao gồm cả lỗi cho phép thực thi mã từ xa. Gói npm có thể bị tấn công qua lỗ hổng Tạo/Ghi đè tệp tùy ý do không đủ khả năng làm sạch đường dẫn liên quan. Gói npm thể hiện dưới...

Ngày nay, Application programming interfaces (API) đã trở nên rất phổ biến và là chất kết dính các ứng dụng lại với nhau. Bạn có thể sử dụng API để bật đèn bếp khi vẫn còn trên giường hay thay đổi bài hát đang phát trên loa trong nhà của mình. Mới đây, Jason Kent - hacker tại Cequence - đã chỉ...

Hewlett Packard Enterprise (HPE) gần đây đưa ra cảnh báo về một lỗ hổng trong Sudo, một chương trình mã nguồn mở được sử dụng trong nền tảng quản lý Aruba AirWave, có thể cho phép người dùng cục bộ không có đặc quyền và chưa được xác thực dành được đặc quyền root trên máy chủ tồn tại lỗ hổng...

Tuần này, Cisco Systems đã phát hành các bản vá để giải quyết lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến giao diện Application Policy Infrastructure Controller (APIC) được sử dụng trong thiết bị chuyển mạch dòng Nexus 9000, có khả năng bị lạm dụng để đọc hoặc ghi các tệp tùy ý trên một hệ thống...