Một lỗ hổng nghiêm trọng vừa được khắc phục trên nền tảng theo dõi và khắc phục các lỗi (exception) trong mã nguồn của ứng dụng theo thời gian thực Sentry có thể cho phép kẻ tấn công chiếm đoạt tài khoản người dùng. Lỗ hổng này, được theo dõi với mã CVE-2025-22146 (CVSS 9.1),…

Oracle đã công bố bản thông báo trước về Critical Patch Update cho tháng 1 năm 2025. Bản cập nhật quan trọng này dự kiến sẽ được phát hành vào ngày 21 tháng 1 năm 2025, nhằm khắc phục 320 lỗ hổng bảo mật trên nhiều sản phẩm của Oracle. Đối với Oracle Database Server,…

Thế giới số hóa mở ra nhiều cơ hội, nhưng cũng tiềm ẩn rủi ro từ các cuộc tấn công mạng tinh vi. Dù có biện pháp phòng ngừa, không gì đảm bảo an toàn tuyệt đối. Khi sự cố xảy ra, dịch vụ Xử lý sự cố và điều tra số (DFIR) chính là…

Một lỗ hổng trong hành vi của web crawler thuộc ChatGPT đã được phát hiện, cho phép thực hiện tấn công DDoS nhắm vào các website bất kỳ. Theo nhà nghiên cứu bảo mật Benjamin Flesch, chỉ một HTTP request tới API của ChatGPT cũng có thể kích hoạt hàng loạt network requests liên tục…

Một package Python độc hại có tên pycord-self đã được phát hiện trên PyPI, nhắm đến các nhà phát triển sử dụng Discord API. Package này giả mạo một thư viện hợp pháp là discord.py-self để đánh lừa người dùng tải xuống khiến token Discord của nạn nhân bị đánh cắp, cài đặt backdoor để…

Bộ công cụ phishing mới mang tên “Sneaky 2FA” đã được phát hiện, với khả năng đánh cắp thông tin đăng nhập và mã xác thực hai yếu tố (2FA) từ tài khoản Microsoft 365. Được cung cấp dưới dạng dịch vụ phishing-as-a-service (PhaaS), công cụ này đã xuất hiện từ tháng 10 năm 2024…

Dịch vụ an ninh mạng trở thành lá chắn cần thiết để bảo vệ doanh nghiệp khỏi những hiểm họa trên không gian mạng trong bối cảnh công nghệ số càng phát triển, các mối đe dọa mạng cũng trở nên phức tạp hơn. Các doanh nghiệp áp dụng công nghệ mới để nâng cao…

Nhóm ransomware Black Basta đã triển khai một chiến dịch phishing tinh vi, sử dụng Microsoft Teams để thực hiện các cuộc tấn công social engineering. Chúng kết hợp email và công cụ để xâm nhập vào mạng lưới tổ chức, đánh lừa nạn nhân cung cấp quyền truy cập từ xa. Chiến dịch bắt…

Ivanti đã phát hành các bản vá bảo mật cho Ivanti Endpoint Manager (EPM) nhằm khắc phục bốn lỗ hổng nghiêm trọng, có điểm CVSS 9.8, liên quan đến “absolute path traversal”, cho phép kẻ tấn công từ xa rò rỉ thông tin nhạy cảm.  Các lỗ hổng này được theo dõi với mã định…

Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong tính năng Secure Boot của UEFI, cho phép kẻ tấn công vượt qua cơ chế bảo vệ này và cài đặt bootkit độc hại vào hệ thống. Lỗ hổng này, có mã CVE-2024-7344, tồn tại trong một ứng dụng UEFI được xác minh…

Một botnet khổng lồ với khoảng 13.000 router MikroTik bị chiếm quyền kiểm soát đang được sử dụng để phát tán email độc hại (malspam) trên toàn cầu. Botnet này khai thác các lỗi cấu hình DNS, đặc biệt trong Sender Policy Framework (SPF), để gửi email giả mạo từ các domain hợp lệ, phát…

NVIDIA vừa phát hành bản cập nhật bảo mật để khắc phục một số lỗ hổng trong phần mềm Container Toolkit và GPU Operator. Các lỗ hổng này có thể cho phép kẻ tấn công thực thi mã độc, leo thang đặc quyền hoặc tấn công từ chối dịch vụ (DoS). Lỗ hổng nghiêm trọng…