Microsoft vừa phát hành bản vá cho 89 lỗ hổng trên toàn hệ sinh thái Windows, trong đó có nhiều lỗ hổng nghiêm trọng có điểm CVSS cao. Hãng này kêu gọi người dùng cần khẩn trương cập nhật bản vá để giảm thiểu rủi ro mất an toàn thông tin.

Công ty an ninh mạng Lumen Technologies (Mỹ) cho biết, một nhóm tin tặc Trung Quốc đã khai thác một lỗ hổng phần mềm để xâm nhập vào một số công ty Internet tại Hoa Kỳ và nước ngoài.

Mới đây, các chuyên gia đã phát hiện năm lỗ hổng trong Bludit - một hệ thống quản lý nội dung mã nguồn mở được sử dụng rộng rãi bởi nhiều trang web và blog. Trong số đó, hai lỗ hổng nghiêm trọng, cho phép thực thi mã từ xa (RCE), có khả năng cho phép kẻ tấn công kiểm soát hoàn toàn các trang web bị ảnh hưởng.​

Ngày 11/6, Microsoft phát hành bản vá Patch Tuesday để giải quyết 51 lỗ hổng bảo mật. Đáng lưu ý, trong số các lỗ hổng được vá, có 1 lỗ hổng zero-day bị công khai trong thực tế.

Với sự phát triển mạnh mẽ của Blockchain, công nghệ hợp đồng thông minh (Smart Contract) đã và đang được triển khai một cách rộng rãi. Tuy nhiên, việc đảm bảo tính chính xác và an toàn của công nghệ này là một thách thức vô cùng lớn đối với các nhà phát triển, bởi một khi lỗ hổng hợp đồng thông minh bị khai thác, nó có thể gây ra hậu quả nghiêm trọng về kinh tế đối với các tổ chức, cá nhân. Bài viết sẽ trình bày về một kỹ thuật phát hiện một số loại lỗ hổng phổ biến của hợp đồng thông minh trên nền tảng Ethereum dựa trên kỹ thuật Thực thi tượng trưng (Symbolic Execution).

Trong bản cập nhật Patch Tuesday tháng 2/2022, Microsoft đã phát hành bản cập nhật bảo mật cho 48 lỗ hổng trong các sản phẩm Windows, Office, Teams, Azure Data Explorer, Visual Studio Code và các thành phần khác như Kernel, Win32k.

Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), Bộ Thông tin và Truyền thông vừa đưa ra cảnh báo về các lỗ hổng bảo mật ảnh hưởng cao và nghiêm trọng trong các sản phẩm Microsoft công bố tháng 11/2021.

Việc nhiều tổ chức/doanh nghiệp (TC/DN) triển khai các chương trình “săn lỗi nhận thưởng” - Bug Bounty, trao thưởng cho người dùng phát hiện các lỗ hổng bảo mật trong chính sản phẩm và website của TC/DN không còn là điều xa lạ. Những cá nhân tham gia vào các chương trình này cũng được vinh danh với vai trò “hacker mũ trắng”. Trong thời đại kỷ nguyên số, các chương trình trao thưởng ngày càng được phát triển đa dạng. Vì thế, có một nghề mới tên gọi “thợ săn tiền thưởng”.

Ngay sau khi lỗ hổng SeriousSAM (còn được gọi là HiveNightmare) với mã định danh CVE-2021-36934 được công bố, Microsoft đã đưa ra giải pháp khắc phục tạm thời cho lỗ hổng zero-day này trên Windows 10 và Windows 11. Giải pháp khắc phục này cũng đã được đăng trên một số tạp chí công nghệ lớn như Bleepingcomputer hay Rapid7,… Bài viết sẽ giới thiệu tới độc giả cách khắc phục tạm thời theo hướng dẫn của Microsoft.  

Nguy cơ bị tin tặc chiếm tên miền phụ đã được biết tới trong nhiều năm, điều này gây ảnh hưởng không nhỏ tới nhiều công ty lớn. Bản ghi DNS cho một tên miền phụ (subdomain) trỏ tới một tên miền không còn tồn tại có thể tạo điều kiện cho tin tặc chiếm quyền điều khiển.