Lỗ hổng nghiêm trọng tồn tại trên tất cả phiên bản hỗ trợ của Windows cho phép tin tặc, những kẻ có quyền kiểm soát một phần lưu lượng truy cập mạng của nạn nhân, đánh cắp thông tin đăng nhập vào những dịch vụ giá trị của người dùng. Lỗi có liên quan đến cách thức Windows và các phần mềm khác xử lý truy vấn HTTP.

Theo các nhà nghiên cứu, lỗ hổng này ảnh hưởng đến các ứng dụng trên diện rộng bao gồm iTunes và Adobe Flash. Lỗ hổng có tên Redirect to SMB được phát hiện ngày 14/4 bởi các nhà nghiên cứu của Cylance. Lỗ hổng cho phép tin tặc buộc nạn nhân xác thực trên một máy chủ bị tin tặc kiểm soát. Microsoft vẫn chưa phát hành bản vá cho lỗ hổng này.

* Chi tiết tại https://threatpost.com/new-smb-flaw-affects-all-versions-of-windows/112134.

Trong quý I/2015, TT Internet Việt Nam (VNNIC) đã rà soát, thanh lọc và thu hồi 40.000 tên miền tiếng Việt chưa đưa vào sử dụng. Theo thông tin được đưa ra tại Hội nghị Giao ban Quản lý Nhà nước quý I/2015 được Bộ TT&TT tổ chức, VNNIC vừa rà soát và thu hồi 40.000 tên miền tiếng Việt đã đăng ký nhưng chưa đưa vào sử dụng.

Cũng theo thông tin từ VNNIC, trong quý I/2015 đã phát triển mới được 21.094 tên miền truyền thống “.vn”, tổng số tên miền “.vn” đang duy trì là 306.557, có 16.818 tên miền tiếng Việt đăng ký mới, tổng số tên miền tiếng Việt đạt 954.984, có 7 khối/22 địa chỉ IPv4 được cấp mới, tổng số địa chỉ Ipv4 của Việt Nam là 15.638.272 địa chỉ, không có khối địa chỉ IPv6 nào được cấp mới, tổng số các vùng địa chỉ Ipv6 là 24 khối/48 và 19 khối/32. Hiện có 137.110 tên miền quốc tế đã thông báo trên trang http://thongbaotenmien.vn.

* Chi tiết tại http://antoanthongtin.vn/Detail.aspx?CatID=6a79a9d0-0aed-4380-83ff-f60ad2498410&NewsID=f9c880a8-ba5a-4294-affe-4d64fde9dac4.

Theo báo cáo từ Văn phòng Chính phủ Mỹ, hàng trăm chiếc máy bay thương mại đang hoạt động hiện nay hoàn toàn có thể bị các tin tặc xâm nhập và điều khiển từ mặt đất hoặc chính từ mạng Wi-Fi của máy bay. Trả lời CNN, ông Gerald Dillingham, một trong những người làm nên bản báo cáo, cho biết hiện nay, hầu hết các loại máy bay thương mại hiện đại nhất như Boeing 787 Dreamliner, Airbus A350 hay A380 có hệ thống buồng lái được nối cùng với hệ thống mạng Wi-Fi mà các hành khách vẫn sử dụng trên các chuyến bay.

* Chi tiết tại http://vovgiaothong.vn/giao-thong-quoc-te/ma%CC%81y-bay-the%CC%81-he%CC%A3-mo%CC%81i-va%CC%83n-co%CC%81-the%CC%89-bi%CC%A3-tin-ta%CC%A3c-ta%CC%81n-cong-/67320.

Theo tiết lộ mới đây từ cựu hacker Jon Miller với chương trình truyền hình "60 Minutes", các hacker từ Nga đang rao bán những phần mềm, malware từng được dùng để tấn công Sony Pictures với giá 30.000 USD. Điều này có nghĩa là bất kỳ kẻ xấu nào cũng có thể mua lại chúng và thực hiện những vụ tấn công tương tự vào các doanh nghiệp, tổ chức khác.

* Chi tiết tại http://www.cnet.com/news/thousands-could-launch-sony-style-cyber-attack-says-ex-hacker/.

Oracle vừa tung ra một bản cập nhật lớn với 98 bản vá lỗ hổng, trong đó có 17 lỗ hổng trong Oracle Fusion Middleware và 26 lỗ hổng trong Oracle MySQL. Bản vá được ra mắt cùng ngày với bản vá hàng tháng của Microsoft và Adobe. MySQL là phần mềm được vá nhiều nhất trong bản cập nhật này. 4 lỗ hổng có thể khai thác từ xa mà không cần xác thực. Hầu hết những bug này đều được đánh giá 10.0 trong thang CVSS - mức đánh giá nghiêm trọng nhất và ảnh hưởng trên MySQL Enterprise Monitoring. 

* Chi tiết tại http://www.securityweek.com/oracle-security-update-contains-critical-patches-mysql-java-se.

Với bản cập nhật Chrome 42 vào tuần này, Google đã vá hơn 40 lỗ hổng. Những thay đổi bảo mật quan trọng nhất trong phiên bản mới chính là việc Google quyết định vô hiệu hóa NPAPI, cũng có thể hiểu là mặc định tắt các plugin như Java và Silverlight. Google đã cảnh báo lập trình viên và người dùng về điều này hơn 1 năm trước và dần dần thay đổi cách Chrome xử lý một vài plugin.

Công ty đã bắt đầu yêu cầu người dùng nhấn vào để chạy plugin phụ thuộc NPAPI, một API được thiết kế giúp mở rộng chức năng của trình duyệt. Đây là cách thức hữu dụng đầu tiên dành cho lập trình viên muốn thêm các chức năng mới vào trình duyệt. Nhưng hiện nay NPAPI thực sự không cần thiết và gây ra nhiều vấn đề hơn.

* Chi tiết tại https://threatpost.com/google-shuts-off-npapi-in-chrome/112295.

Những tài liệu này được đưa lên một cơ sở dữ liệu cho phép tìm kiếm được trên mạng vào hôm 16.4. WikiLeaks nói rằng trong đó có hơn 173.132 thư điện tử từ 2.200 địa chỉ mail của hãng Sony Pictures. “Những lưu trữ này cho thấy các hoạt động nội bộ của một công ty đa quốc gia có ảnh hưởng lớn. Đây là tin có giá trị và ngay tại trung tâm của xung đột địa chính trị. Nó thuộc về công chúng. WikiLeaks sẽ đảm bảo các tài liệu được giữ lại đó”, ông Julian Assange, tổng biên tập WikiLeaks cho biết.

Người phát ngôn của hãng Sony Pictures đã lên án mạnh mẽ những hành động của WikiLeaks. “Những kẻ tấn công thường phát tán những thông tin đánh cắp nhằm gây hại cho Sony Pictures Entertainment và nhân viên công ty. Thật đáng tiếc khi giờ đây, WikiLeaks lại giúp đỡ những hành động đó”.

* Chi tiết tại http://www.nbcnews.com/tech/security/wikileaks-puts-more-30-000-sony-documents-online-n343026.

Google đã vá một lỗ hổng trong YouTube có thể đã được khai thác để sao chép bất kỳ bình luận từ một video khác. Lỗ hổng bảo mật được xác định bởi các nhà nghiên cứu Ai Cập Ibrahim El-Sayed và Ahmed Aboul-Ela trong khi họ phân tích các tính năng chính comment trong YouTube. Lỗ hổng này đã được báo cáo cho Nhóm Google vào ngày 25 và nó đã được cố định vào ngày 31 tháng 3, Google trao tặng các nhà nghiên cứu 3.133 USD.

* Chi tiết tại http://www.securityweek.com/google-rewards-researchers-youtube-comment-theft-vulnerability.

ĐỖ THỤY (tổng hợp)