Lộ mã nguồn, hàng loạt iPhone chạy iOS cũ có nguy cơ bị tấn công

Một tin tặc ẩn danh đã tiết lộ mã nguồn phần mềm iBoot cực kỳ bí mật của Apple vào ngày 7/2/2018, làm gia tăng nỗi lo ngại rằng hầu như iPhone nào cũng có thể bị tấn công bởi tin tặc.

Lỗ hổng trong Pulse Secure VPN có thể cho phép tấn công MiTM

Viện Kỹ thuật phần mềm tại Đại học Carnegie Mellon (KB CERT) đã đưa ra một cảnh báo cho biết khi khởi động giao diện đồ họa người dùng (Graphic User Interface -GUI) của Pulse Secure Linux VPN không xác nhận các chứng chỉ SSL có thể giúp tin tặc mở các cuộc tấn công man-in-the-middle (MiTM).

Lỗ hổng bảo mật trong giao thức xác thực hai yếu tố của Uber

Mới đây, nhà nghiên cứu Karan Saini, người Ấn Độ đã phát hiện ra lỗ hổng bảo mật quan trọng trong giao thức xác thực hai yếu tố (2FA) của Uber. Tuy nhiên, hãng này không có kế hoạch khắc phục, vì cho rằng đây không phải là “một báo cáo đặc biệt nghiêm trọng”.

Bản vá khắc phục Meltdown và Spectre của Microsoft không được cài đặt nếu phần mềm antivirus không thêm khoá vào registry

Ngày 03/01/2018, Microsoft đã phát hành bản vá bảo mật gộp cho tháng 01/2018. Không chỉ liên quan đến lỗ hổng Meltdown và Spectre, bản vá còn khắc phục nhiều lỗ hổng nghiêm trọng khác, đồng thời cũng lưu ý một số điều quan trọng về đợt vá gộp này.

Trao đổi nhóm qua WhatsApp được mã hoá vẫn có thể bị “nghe lén”

Các nhà nghiên cứu của trường Đại học Ruhr-Universität Bochum (RUB) ở Đức đã phát hiện ra rằng, bất kỳ ai có quyền kiểm soát máy chủ của WhatsApp/Signal có thể bí mật bổ sung thành viên mới vào bất kỳ nhóm kín nào và do đó cho phép nghe lén các cuộc trao đổi nhóm mà không cần sự cho phép của người quản trị.

Lỗ hổng bảo mật mới trên chip Intel cho phép tin tặc chiếm quyền kiểm soát máy tính trong 30 giây

Trong khi cả thế giới đang khắc phục hậu quả của lỗ hổng bảo mật Meltdown và Spectre, thì hãng F-Secure (Phần Lan) lại tìm thấy một lỗ hổng bảo mật mới trên chip Intel cho phép các tin tặc có thể chiếm toàn quyền kiểm soát máy tính xách tay của người dùng chỉ trong gần 30 giây.

Lỗ hổng nghiêm trọng trong các thiết bị lưu trữ My Cloud của Western Digital

Các nhà nghiên cứu an ninh GulfTech (Vịnh Mississippi, Hoa Kỳ) đã phát hiện ra một số lỗ hổng nghiêm trọng và cửa hậu độc hại trong các thiết bị My Cloud NAS của Western Digital, cho phép kẻ tấn công từ xa giành quyền root không giới hạn để truy cập đến thiết bị.

Nguy cơ phát tán mã độc từ lỗ hổng của Google Apps Script

Ngày 4/01/2018, công ty bảo mật Proofpoint (HoaKỳ) đã đưa ra cảnh báo về một phương thức tấn công mới có thể cho phép các tin tặc sử dụng Google Apps Script nhằm vào người dùng sử dụng điện toán đám mây.

Lỗ hổng trong các trình duyệt chính cho phép script của bên thứ 3 đánh cắp mật khẩu người dùng

Các nhà nghiên cứu của trường Đại học Princeton (Hoa Kỳ) vừa phát hiện cách các công ty marketing lợi dụng một lỗ hổng đã tồn tại 11 năm trong trình quản lý mật khẩu dựng sẵn của các trình duyệt, để bí mật đánh cắp địa chỉ thư điện tử của người dùng. Lỗ hổng này cũng có thể bị lợi dụng để đánh cắp tên người dùng và mật khẩu từ các trình duyệt mà không cần sự tương tác của họ.

Lỗ hổng zero-day trên macOS cho phép leo thang đặc quyền

Ngày 31/12/2017, một nhà nghiên cứu độc lập (người Thụy Sĩ) có biệt danh Siguza đã công bố một lỗ hổng trên macOS có thể cho phép leo thang đặc quyền. Sau đó, hãng Apple đưa ra thông báo dự định sẽ vá lỗ hổng vào cuối tháng 01/2018.

Các tin khác