Các nhà nghiên cứu tại Rapid7 đã phát hiện một lỗ hổng SQL injection nghiêm trọng (CVE-2025-1094) trong công cụ tương tác psql của PostgreSQL. Lỗ hổng này được tìm thấy trong quá trình điều tra việc khai thác một lỗ hổng khác trong sản phẩm của BeyondTrust, cho phép kẻ tấn công thực thi…

Các nhà nghiên cứu an ninh mạng phát hiện cuộc tấn công whoAMI, lợi dụng lỗ hổng nhầm lẫn tên Amazon Machine Image (AMI) có thể dẫn đến thực thi mã từ xa trong tài khoản Amazon Web Services (AWS) của nạn nhân. Đây là một dạng tấn công chuỗi cung ứng, trong đó kẻ…

Microsoft cảnh báo về một chiến dịch tấn công đang diễn ra nhắm vào tài khoản Microsoft 365 thông qua device code phishing. Nhóm tin tặc Storm-2372, có thể liên quan đến một chiến dịch của nhà nước Nga, đang lợi dụng phương thức device code authentication flow – vốn được sử dụng trên các…

Google đang phát triển một tính năng bảo mật mới trên Android nhằm ngăn người dùng thay đổi các cài đặt nhạy cảm trong khi cuộc gọi đang diễn ra.  Cụ thể, tính năng này sẽ chặn việc bật tùy chọn cài đặt ứng dụng từ nguồn không xác định và cấp quyền Accessibility, hai…

Apple vừa phát hành bản vá khẩn cấp cho iOS 18.3.1 và iPadOS 18.3.1 nhằm khắc phục lỗ hổng bảo mật nghiêm trọng CVE-2025-24200. Lỗ hổng này cho phép kẻ tấn công có quyền truy cập vật lý vào iPhone hoặc iPad bị khóa có thể vô hiệu hóa USB Restricted Mode, từ đó mở…

Sự xuất hiện của Phishing-as-a-Service (PhaaS) đã biến phishing thành một dịch vụ sẵn có, cho phép bất kỳ ai, dù không có kỹ năng kỹ thuật, cũng có thể thực hiện các cuộc tấn công tinh vi chỉ với một khoản phí nhỏ.  Theo báo cáo mới nhất từ Abnormal Security, các nền tảng…

Google’s reCAPTCHA được thiết kế để bảo vệ các trang web khỏi bot, nhưng thực tế lại gây phiền toái cho người dùng thực. Những bài kiểm tra như chọn đèn giao thông hay vạch qua đường không chỉ vô nghĩa mà còn dễ dàng bị bot hiện đại vượt qua. Trong khi đó, chỉ…

 Nhà nghiên cứu bảo mật Naor Hodorov vừa công bố phân tích về lỗ hổng CVE-2024-12754 trong phần mềm quản trị từ xa AnyDesk. Lỗ hổng này có thể cho phép người dùng có đặc quyền thấp leo thang đặc quyền, thậm chí chiếm toàn quyền kiểm soát hệ thống. Nguyên nhân xuất phát từ…

Ứng dụng DeepSeek iOS phát hiện lỗ hổng bảo mật nghiêm trọng khi truyền dữ liệu nhạy cảm qua internet mà không mã hóa, khiến dữ liệu thông tin người dùng và thiết bị có nguy cơ bị thu thập lượng lớn. Dữ liệu từ ứng dụng được gửi đến Volcano Engine, nền tảng đám…

Europol và cơ quan thực thi pháp luật Đức xác nhận đã bắt giữ hai nghi phạm và thu giữ 17 máy chủ trong chiến dịch Operation Talent, triệt phá Cracked và Nulled, hai trong số các diễn đàn hacking lớn nhất với hơn 10 triệu người dùng. Hai diễn đàn này là trung tâm…

Các trang web giả mạo Google Chrome đang được sử dụng để phát tán trojan truy cập từ xa (RAT) có tên ValleyRAT. Loại malware này chủ yếu nhắm vào người dùng nói tiếng Trung tại Hong Kong, Đài Loan và Trung Quốc đại lục. Nhóm này tập trung tấn công các vị trí có…

BADBOX là một botnet nguy hiểm đang lây nhiễm hàng trăm nghìn thiết bị Android, với malware được cài sẵn trong firmware ngay từ khi xuất xưởng. Người dùng vô tình mua phải thiết bị đã bị xâm nhập mà không hề hay biết, khiến mối đe dọa này khó phát hiện và ngăn chặn.…