Kết quả tìm kiếm

Tuần trước, Apple đã giải quyết lỗ hổng có tên Achilles (CVE-2022-42821) trong macOS 13 (Ventura), macOS 12.6.2 (Monterey) và macOS 1.7.2 (Big Sur). Lỗ hổng có thể bị lợi dụng để triển khai phần mềm độc hại trên các thiết bị macOS bị ảnh hưởng thông qua các ứng dụng không đáng tin cậy, có khả...

Pulse Connect Secure là một giải pháp SSL VPN, cung cấp cho người dùng từ xa quyền truy cập an toàn vào các tài nguyên của công ty. Các thiết bị của Pulse Secure luôn là mục tiêu yêu thích của tội phạm mạng và thường xuyên có cảnh báo về việc tin tặc đang khai thác các lỗ hổng chưa được vá...

Các nhà nghiên cứu của Google vừa chia sẻ thông tin chi tiết về lỗ hổng (CVE-2022-41128, điểm CVSS 8,8) nằm trong công cụ JavaScript ‘JScript9’ của trình duyệt Internet Explorer. Lỗ hổng có thể bị khai thác bởi tin tặc từ xa để thực thi mã tùy ý trên hệ thống mục tiêu. Một tuần sau khi được...

Lỗ hổng (CVE-2022-45313) tồn tại do xác thực không chính xác, cho phép kẻ tấn công thực thi mã từ xa trên các thiết bị bị ảnh hưởng. Lỗ hổng ảnh hưởng đến MikroTik RouterOS các phiên bản trước v7.5. RouterOS là một hệ điều hành độc lập dựa trên nhân Linux, được sử dụng bởi các thiết bị phần...

Hệ điều hành FreeBSD vừa phát hành bản cập nhật để khắc phục một lỗ hổng bảo mật ảnh hưởng đến module ping. Lỗ hổng có khả năng bị khai thác để crash chương trình hoặc kích hoạt thực thi mã từ xa. Lỗ hổng (CVE-2022-23093) liên quan đến lỗi tràn bộ đệm trong dịch vụ ping, là dịch vụ cho phép...

Grafana, giải pháp nguồn mở giúp giám sát và phân tích dữ liệu, vừa được cập nhật để khắc phục lỗ hổng zero-day có mức độ nghiêm trọng cao cho phép kẻ tấn công nâng cao đặc quyền từ Editor lên Admin. Lỗ hổng (CVE-2022-31097, điểm 7,3) là do xác thực đầu vào không đúng bằng tính năng Unified...

Lỗ hổng (CVE-2022-34721, điểm CVSS 9,8) nằm trong thành phần Tiện ích mở rộng giao thức Internet Key Exchange (IKE). Kẻ tấn công có thể khai thác lỗ hổng này để thực thi mã tùy ý trên hệ thống bằng cách gửi gói IP được tạo đặc biệt tới nút Windows có bật IPSec. Chỉ những hệ thống chạy IKE và...

Các cuộc tấn công lừa đảo mới sử dụng lỗ hổng zero-day của Windows để cài mã độc Qbot mà không hiển thị cảnh báo bảo mật Mark of the Web. Khi các tệp được tải xuống từ nguồn không đáng tin cậy, chẳng hạn như Internet hoặc tệp đính kèm email, Windows sẽ gắn thêm một thuộc tính đặc biệt (Mark...

Intel và AMD vừa công bố các bản sửa lỗi cho nhiều lỗ hổng, bao gồm các lỗi được xếp hạng ‘nghiêm trọng cao’. Intel công bố 24 tư vấn mới về hơn 50 lỗ hổng ảnh hưởng đến các sản phẩm của mình. Trong đó, 7 tư vấn mô tả các lỗi leo thang đặc quyền có mức nghiêm trọng cao trong firmware BIOS của...

SAP vừa phát hành 9 bản tin bảo mật mới, ba trong số đó được đánh dấu ‘tin nóng’, thể hiện xếp hạng mức độ nghiêm trọng cao nhất trong danh sách của SAP. Bản tin đầu tiên xử lý CVE-2022-41203, một lỗi deserialization (lỗi chuyển đổi cấu trúc dữ liệu không an toàn) trong nền tảng Business...

Grafana, giải pháp giám sát và phân tích nguồn mở, vừa được cập nhật để khắc phục ba lỗ hổng bảo mật, trong đó có một lỗ hổng được đánh giá ở mức ‘nghiêm trọng’. Grafana là một nền tảng phân tích và hình ảnh hóa mã nguồn mở, hợp nhất các tập dữ liệu trong công ty thành một không gian làm việc...

Fortinet vừa thông báo cho khách hàng về 16 lỗ hổng được phát hiện trong các sản phẩm của công ty, bao gồm sáu lỗ hổng có mức độ nghiêm trọng cao. Một trong sáu lỗ hổng có mức nghiêm trọng cao ảnh hưởng đến FortiTester, cho phép kẻ tấn công đã xác thực thực thi các lệnh thông qua các đối số...

Một bản vá không chính thức được phát hành cho lỗ hổng zero-day đang bị khai thác tích cực trong thực tế. Lỗ hổng cho phép các tệp được ký bằng chữ ký không đúng định dạng vượt qua cảnh báo bảo mật Mark-of-the-Web trong Windows 10 và Windows 11. Cụ thể, hacker đang sử dụng các tệp JavaScript...

Google phát hành bản cập nhật bảo mật khẩn cấp cho trình duyệt Chrome để giải quyết một lỗ hổng duy nhất được cho là đang bị khai thác trong các cuộc tấn công. Lỗ hổng (CVE-2022-3723) là một lỗi type confusion trong công cụ Chrome V8 Javascript và được đánh giá là có mức nghiêm trọng cao...

Một lỗ hổng trong hệ điều hành iOS và macOS của Apple có thể đã cho phép các ứng dụng có quyền truy cập Bluetooth nghe trộm các cuộc trò chuyện của bạn với Siri. Lỗ hổng có tên SiriSpy (CVE-2022-32946), được phát hiện và báo cáo vào tháng 8 năm 2022 bởi nhà phát triển ứng dụng Guilherme...

Tin tặc có thể khai thác lỗ hổng spoofing hiện đã được vá trong Service Fabric Explorer để giành quyền quản trị viên và chiếm đoạt các Azure Service Fabric cluster (cụm). Service Fabric là một nền tảng dành cho các ứng dụng quan trọng cho doanh nghiệp, lưu trữ hơn 1 triệu ứng dụng và được sử...

Theo Microsoft, một số thông tin nhạy cảm của khách hàng đã bị lộ lọt do một máy chủ Microsoft bị cấu hình sai. Microsoft khẳng định đây không phải do lỗ hổng bảo mật. Thông tin bị lộ bao gồm tên, địa chỉ email, nội dung email, tên công ty và số điện thoại, cũng như các tệp liên quan đến hoạt...

Công ty Aqua Security phát hiện, kẻ tấn công nắm trong tay danh sách tên gói có thể tấn công timing để xác định xem một tổ chức có tạo ra các gói NPM vốn không thể truy cập công khai hay không. Khi đã xác định được sự tồn tại của một gói riêng tư, kẻ tấn công có thể thực hiện tấn công chuỗi...

Tính năng mã hóa thư của Microsoft Office 365 (Office 365 Message Encryption - OME) tồn tại vấn đề có thể dẫn đến rò rỉ thông tin của email do sử dụng Electronic Codebook (Sổ mã điện tử - ECB). Vấn đề với ECB không phải là mới. Theo NIST, “chế độ ECB mã hóa các khối plaintext một cách độc...

Cập nhật ngày 14/10/2022: Đã có PoC cho lỗ hổng CVE-2022-40684 ảnh hưởng đến các thiết bị FortiOS, FortiProxy và FortiSwitchManager. Fortinet cũng xác nhận lỗ hổng đang bị lạm dụng trong các cuộc tấn công. Quản trị viên được khuyến cáo cập nhật bản vá ngay lập tức. Nếu chưa thể cập nhật, có thể...