zero-day

Nhiều hệ thống tổng đài doanh nghiệp đang bị tin tặc chiếm quyền điều khiển, khai thác trái phép do một lỗ hổng chưa được vá (zero-day) trong phần mềm FreePBX. FreePBX là một nền tảng tổng đài điện thoại mã nguồn mở rất phổ biến, được xây dựng trên nền Asterisk. Nó thường được dùng bởi doanh...

Một lỗ hổng zero-day nghiêm trọng vừa được phát hiện trong thành phần Visual Composer Metadata Uploader của SAP NetWeaver, cho phép tin tặc tải tệp trái phép trực tiếp lên máy chủ SAP, từ đó chiếm quyền thực thi mã từ xa dưới các tài khoản dịch vụ đặc quyền cao, tạo ra nguy cơ gián đoạn và tổn...

Một lỗ hổng zero-day nghiêm trọng trong giải pháp Elastic Endpoint Detection and Response (EDR) vừa được công bố, đặt ra thách thức lớn cho các doanh nghiệp vốn đang phụ thuộc vào Elastic để bảo vệ hạ tầng. Nghiên cứu từ Ashes Cybersecurity cho thấy điểm yếu tồn tại trong tệp...

Trung tâm An ninh mạng Quốc gia Hà Lan (NCSC-NL) vừa phát đi cảnh báo khẩn về các cuộc tấn công mạng nhắm vào lỗ hổng bảo mật nghiêm trọng CVE-2025-6543 trong sản phẩm Citrix NetScaler ADC. Vụ việc đã ảnh hưởng tới nhiều tổ chức thuộc các lĩnh vực trọng yếu tại Hà Lan và có thể là dấu hiệu cho...

Mới đây, Adobe đã phát hành bản cập nhật khẩn cấp để khắc phục hai lỗ hổng bảo mật trong sản phẩm Adobe Experience Manager (AEM) Forms on JEE, sau khi nhóm nghiên cứu công bố chuỗi khai thác cho phép tin tặc thực thi mã từ xa mà không cần xác thực. Vụ việc này làm dấy lên mối lo ngại về quy...

Google vừa phát hành bản cập nhật bảo mật khẩn cấp cho trình duyệt Chrome nhằm khắc phục một lỗ hổng zero day nghiêm trọng có mã định danh CVE-2025-6554. Lỗ hổng này đang bị khai thác ngoài thực tế và ảnh hưởng trực tiếp đến công cụ V8 JavaScript engine, thành phần chịu trách nhiệm xử lý...

Microsoft vừa phát hành bản vá bảo mật trong đợt Patch Tuesday tháng 6/2025 nhằm khắc phục một lỗ hổng zero-day nghiêm trọng có mã định danh CVE-2025-33073. Lỗ hổng này ảnh hưởng đến toàn bộ hệ sinh thái Windows, cho phép kẻ tấn công chiếm quyền cao nhất (NT AUTHORITY\SYSTEM) thông qua hình thức...

Mới đây, Qualcomm đã phát hành bản vá bảo mật khẩn cấp để xử lý 3 lỗ hổng Zero-day trong driver (trình điều khiển) GPU Adreno của hãng, đang bị hacker khai thác trong các cuộc tấn công nhắm mục tiêu. Các lỗ hổng đó là: CVE-2025-21479 và CVE-2025-21480 (CVSS: 8,6): lỗ hổng do sai lệch quyền...

Google vừa phát hành bản cập nhật bảo mật khẩn cấp cho trình duyệt Chrome sau khi xác nhận có một lỗ hổng nghiêm trọng (zero-day) đang bị tin tặc khai thác thực tế. Lỗ hổng có mã CVE-2025-5419, là lỗ hổng Out-Of-Bound read and write (đọc ghi ngoài vùng nhớ) trong Javascript Engine V8 của...

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vừa phát đi cảnh báo nghiêm trọng về một chiến dịch tấn công mạng quy mô lớn, nhắm vào các dịch vụ SaaS (Software as a Service) đang vận hành trên nền tảng điện toán đám mây Microsoft Azure. Trong đó, mục tiêu bị ảnh hưởng trực tiếp là giải...

Hơn 16.000 thiết bị Fortinet kết nối internet đã bị phát hiện nhiễm symlink backdoor- một cơ chế duy trì quyền truy cập từ xa chỉ đọc (read-only) vào các tệp tin nhạy cảm trên hệ thống đã từng bị xâm nhập trước đó. Theo tổ chức giám sát an ninh mạng Shadowserver Foundation, lỗ hổng này không...

Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong a-blog cms, lỗ hổng CVE-2025-31103 (deserialization), cho phép kẻ tấn công thực thi mã tùy ý trên máy chủ thông qua request độc hại. Lỗ hổng này có thể dẫn đến mất dữ liệu, chiếm quyền điều khiển máy chủ, hoặc phá hoại trang web. Các...

Apple vừa phát hành các bản cập nhật bảo mật khẩn cấp để vá một lỗ hổng zero-day (CVE-2025-24201) trong Webkit, vừa được phát hiện trong tháng 3/2025 và được xác định là đã bị khai thác trong các cuộc tấn công cực kỳ tinh vi. Lỗ hổng này được phát hiện trong WebKit, công cụ trình duyệt web đa...

Microsoft vừa phát hành Patch Tuesday tháng 2/2025, khắc phục tổng cộng 67 lỗ hổng trên nhiều sản phẩm. Trong số đó, có 3 lỗ hổng được xếp loại nghiêm trọng và 53 lỗ hổng quan trọng, ảnh hưởng đến nhiều thành phần như Windows, Microsoft Edge (Chromium-based), Windows LDAP, NTLM, DHCP Server và...

Mới đây, Microsoft vừa phát hành bản cập nhật bảo mật Patch Tuesday tháng 12/2024, vá tổng cộng 71 lỗ hổng trên Windows, trong đó có một lỗi zero-day nghiêm trọng (CVE-2024-49138) đang bị khai thác tích cực. Theo đó, bản vá Patch Tuesday tháng 12 đã khắc phục: 27 lỗ hổng leo thang đặc quyền...

Một lỗ hổng zero-day mới được phát hiện ảnh hưởng đến mọi phiên bản Microsoft Windows, bao gồm cả các phiên bản cũ và đang được hỗ trợ, cho phép kẻ tấn công chiếm đoạt thông tin đăng nhập NTLM của người dùng chỉ bằng việc xem một tệp trong Windows Explorer. Lỗ hổng này chưa có CVE, tác động...

Apple đã phát hành bản cập nhật bảo mật cho iOS, iPadOS, macOS, visionOS và trình duyệt web Safari để giải quyết hai lỗ hổng zero-day đang bị khai thác rộng rãi. Các lỗi bao gồm: CVE-2024-44308 - Lỗ hổng trong JavaScriptCore có thể cho phép thực thi mã tùy ý khi xử lý nội dung web độc hại...

Tin tặc đang cố gắng khai thác 2 lỗ hổng zero-day trong các camera phát trực tiếp PTZOptics có khả năng quay quét - nghiêng - phóng to (PTZ), được sử dụng trong lĩnh vực công nghiệp, chăm sóc sức khỏe, hội nghị doanh nghiệp, chính phủ và phòng xử án. Chuyên gia đã phát hiện ra CVE-2024-8956...

Google vừa phát hành các bản vá lỗi để giải quyết một lỗ hổng bảo mật nghiêm trọng trong trình duyệt Chrome bị khai thác thực tế. Đây là lỗ hổng type confusion có mã định danh CVE-2024-5274 trong JavaScript và WebAssembly V8. Lỗ hổng type confusion xuất hiện khi một chương trình cố gắng truy...

Các chi tiết kỹ thuật và mã khai thác (PoC) cho lỗ hổng zero-day CVE-2024-21338, điểm CVSS 7,8 đã được công bố. Lỗ hổng này tồn tại trong kernel Windows, cho phép kẻ tấn công giành quyền kiểm soát sâu ở cấp hệ thống và vô hiệu hóa các giải pháp an ninh. Nhóm tin tặc Lazarus có liên quan đến...