Recent Content by WhiteHat News #ID:2112

Tuần trước, Apple đã giải quyết lỗ hổng có tên Achilles (CVE-2022-42821) trong macOS 13 (Ventura), macOS 12.6.2 (Monterey) và macOS 1.7.2 (Big Sur). Lỗ hổng có thể bị lợi dụng để triển khai phần mềm độc hại trên các thiết bị macOS bị ảnh hưởng thông qua các ứng dụng không đáng tin cậy, có khả...

Pulse Connect Secure là một giải pháp SSL VPN, cung cấp cho người dùng từ xa quyền truy cập an toàn vào các tài nguyên của công ty. Các thiết bị của Pulse Secure luôn là mục tiêu yêu thích của tội phạm mạng và thường xuyên có cảnh báo về việc tin tặc đang khai thác các lỗ hổng chưa được vá...

Các nhà nghiên cứu của Google vừa chia sẻ thông tin chi tiết về lỗ hổng (CVE-2022-41128, điểm CVSS 8,8) nằm trong công cụ JavaScript ‘JScript9’ của trình duyệt Internet Explorer. Lỗ hổng có thể bị khai thác bởi tin tặc từ xa để thực thi mã tùy ý trên hệ thống mục tiêu. Một tuần sau khi được...

Lỗ hổng (CVE-2022-45313) tồn tại do xác thực không chính xác, cho phép kẻ tấn công thực thi mã từ xa trên các thiết bị bị ảnh hưởng. Lỗ hổng ảnh hưởng đến MikroTik RouterOS các phiên bản trước v7.5. RouterOS là một hệ điều hành độc lập dựa trên nhân Linux, được sử dụng bởi các thiết bị phần...

Hệ điều hành FreeBSD vừa phát hành bản cập nhật để khắc phục một lỗ hổng bảo mật ảnh hưởng đến module ping. Lỗ hổng có khả năng bị khai thác để crash chương trình hoặc kích hoạt thực thi mã từ xa. Lỗ hổng (CVE-2022-23093) liên quan đến lỗi tràn bộ đệm trong dịch vụ ping, là dịch vụ cho phép...

Grafana, giải pháp nguồn mở giúp giám sát và phân tích dữ liệu, vừa được cập nhật để khắc phục lỗ hổng zero-day có mức độ nghiêm trọng cao cho phép kẻ tấn công nâng cao đặc quyền từ Editor lên Admin. Lỗ hổng (CVE-2022-31097, điểm 7,3) là do xác thực đầu vào không đúng bằng tính năng Unified...

Lỗ hổng (CVE-2022-34721, điểm CVSS 9,8) nằm trong thành phần Tiện ích mở rộng giao thức Internet Key Exchange (IKE). Kẻ tấn công có thể khai thác lỗ hổng này để thực thi mã tùy ý trên hệ thống bằng cách gửi gói IP được tạo đặc biệt tới nút Windows có bật IPSec. Chỉ những hệ thống chạy IKE và...

Các cuộc tấn công lừa đảo mới sử dụng lỗ hổng zero-day của Windows để cài mã độc Qbot mà không hiển thị cảnh báo bảo mật Mark of the Web. Khi các tệp được tải xuống từ nguồn không đáng tin cậy, chẳng hạn như Internet hoặc tệp đính kèm email, Windows sẽ gắn thêm một thuộc tính đặc biệt (Mark...

Intel và AMD vừa công bố các bản sửa lỗi cho nhiều lỗ hổng, bao gồm các lỗi được xếp hạng ‘nghiêm trọng cao’. Intel công bố 24 tư vấn mới về hơn 50 lỗ hổng ảnh hưởng đến các sản phẩm của mình. Trong đó, 7 tư vấn mô tả các lỗi leo thang đặc quyền có mức nghiêm trọng cao trong firmware BIOS của...

SAP vừa phát hành 9 bản tin bảo mật mới, ba trong số đó được đánh dấu ‘tin nóng’, thể hiện xếp hạng mức độ nghiêm trọng cao nhất trong danh sách của SAP. Bản tin đầu tiên xử lý CVE-2022-41203, một lỗi deserialization (lỗi chuyển đổi cấu trúc dữ liệu không an toàn) trong nền tảng Business...

Grafana, giải pháp giám sát và phân tích nguồn mở, vừa được cập nhật để khắc phục ba lỗ hổng bảo mật, trong đó có một lỗ hổng được đánh giá ở mức ‘nghiêm trọng’. Grafana là một nền tảng phân tích và hình ảnh hóa mã nguồn mở, hợp nhất các tập dữ liệu trong công ty thành một không gian làm việc...

Fortinet vừa thông báo cho khách hàng về 16 lỗ hổng được phát hiện trong các sản phẩm của công ty, bao gồm sáu lỗ hổng có mức độ nghiêm trọng cao. Một trong sáu lỗ hổng có mức nghiêm trọng cao ảnh hưởng đến FortiTester, cho phép kẻ tấn công đã xác thực thực thi các lệnh thông qua các đối số...

Một bản vá không chính thức được phát hành cho lỗ hổng zero-day đang bị khai thác tích cực trong thực tế. Lỗ hổng cho phép các tệp được ký bằng chữ ký không đúng định dạng vượt qua cảnh báo bảo mật Mark-of-the-Web trong Windows 10 và Windows 11. Cụ thể, hacker đang sử dụng các tệp JavaScript...

Google phát hành bản cập nhật bảo mật khẩn cấp cho trình duyệt Chrome để giải quyết một lỗ hổng duy nhất được cho là đang bị khai thác trong các cuộc tấn công. Lỗ hổng (CVE-2022-3723) là một lỗi type confusion trong công cụ Chrome V8 Javascript và được đánh giá là có mức nghiêm trọng cao...

Một lỗ hổng trong hệ điều hành iOS và macOS của Apple có thể đã cho phép các ứng dụng có quyền truy cập Bluetooth nghe trộm các cuộc trò chuyện của bạn với Siri. Lỗ hổng có tên SiriSpy (CVE-2022-32946), được phát hiện và báo cáo vào tháng 8 năm 2022 bởi nhà phát triển ứng dụng Guilherme...