PHP File Manager là một trình quản lý tập tin trên nền web. Ứng dụng này không còn được hỗ trợ, nhưng nó vẫn còn được sử dụng bởi nhiều công ty. Nhà nghiên cứu an ninh mạng Sijmen Ruwhof tại Hà Lan công bố trên blog của mình đã tìm thấy nhiều lỗ hổng nghiêm trọng.

Phiên bản mới nhất của PHP File Manager Revived Wire Media là phiên bản 4.5. Phiên bản này được phát hành vào giai đoạn 2010 - 2011 các ứng dụng đã không được cập nhật kể từ đó. Ruwhof cho biết, đã tìm kiếm nhanh trên Google và phát hiện có 15 công ty lớn đang sử dụng PHP file manager : "Eneco, Nintendo, Danone, Nestle, Loreal, EON, Siemens, Vattenfall, Oracle, Oxford, Hilton, T-Mobile, CBS, UPC, 3M" và tại thời điểm này các tập tin được lưu trữ trên này có thể dễ dàng tải về.<Chi tiết>

Sau 24 giờ kể từ thời điểm Windows 10 chính thức ra mắt, đã có 14 triệu máy tính nâng cấp lên hệ điều hành này, một kết quả đầu ấn tượng. Điều đó hứa hẹn sẽ còn có thêm nhiều người đam mê công nghệ ủng hộ Windows 10 trong những tuần tiếp theo. Bên cạnh đó, Microsoft đã mở một số kênh hỗ trợ đặc biệt để giải đáp những thắc mắc của người dùng trong quá trình nâng cấp lên Windows 10.<Chi tiết>

Apple đã vá một lỗ hổng nghiêm trọng trong App Store và iTunes Store cho phép attacker có thể chèn mã độc hại vào các hoá đơn của Apple sau đó chiếm phiên session, lừa đảo và chuyển hướng người dùng. Lỗ hổng được phát hiện vào tháng 6 bởi nhà nghiên cứu bảo mật Benjamin Kunz Mejri và được báo cáo cho tập đoàn Cupertino.<Chi tiết>

Một báo cáo mới của hãng bảo mật Forensiq cho biết nhiều ứng dụng trên điện thoại thông minh chạy Android và iOS đang bí mật chạy quảng cáo mà người dùng không biết nhưng chưa được thanh toán cho các nhà quảng cáo. Forensiq cho thấy rằng, ứng dụng như vậy không chỉ lừa gạt thương mại và cũng làm chậm điện thoại thông minh một cách đáng kể và tải dữ liệu không mong muốn mà không cần sự đồng ý của người sử dụng. Forensiq đã xác định trên hơn 5.000 ứng dụng như vậy trên cả hai thiết bị của Apple và Android.<Chi tiết>

Vào đầu năm nay, một lỗ hổng nghiêm trọng trong Google Chrome làm rò rỉ địa chỉ IP thực người sử dụng mặc dù đã sử dụng một VPN được phát hiện. Lỗ hổng liên quan đến WebRTC có thể bị rò rỉ IP thực của tất cả người sử dụng dịch vụ VPN. Google hiện đã xuất bản một extension cho trình duyệt Chrome và sửa chữa lỗ hổng bảo mật nghiêm trọng WebRTC trong Google Chrome.<Chi tiết>

Một ứng dụng hoặc trang web độc hại có thể được sử dụng để crash thiết bị Android do một lỗ hổng trong mediaserver của Android xử lý các tập tin định dạng MKV. Khi lỗ hổng bị khai thác, thiết bị sẽ im lặng và không hồi đáp, không có nhạc chuông hay âm báo và không thể thực hiện hay nhận cuộc gọi. Hơn nữa, giao diện người dùng có thể bị chậm hoặc hoàn toàn không thể sử dụng được và nếu điện thoại đang khóa, thì không thể mở khóa.

Lỗ hổng có thể bị khai thác theo hai cách: Qua một ứng dụng độc hại có chứa tập tin MKV hoặc bằng cách điều hướng đến một trang web có chứa video MKV. Lỗ hổng ảnh hưởng đến tất cả các thiết bị chạy phiên bản Android từ 4.3 (Jelly Bean) trở lên tới bản cập nhật mới nhất 5.1.1 (Lollipop).<Chi tiết>

Hacker có thể thực hiện tấn công từ chối dịch vụ qua lỗ hổng phần mềm BIND DNS được sử dụng rộng hiện nay. Lỗ hổng BIND (CVE-2015-5477) ảnh hưởng tới tất cả các máy chủ đang chạy phần mềm và có thể bị tấn công một cách dễ dàng bất cứ lúc nào. Attackers có thể gửi một gói tin giả mạo tới DNS và gây ra lỗi BIND.

Trong khi Amazon và RedHat đã áp dụng các bản sửa lỗi, Miller cho biết nhiều nhà cung cấp DNS khác có thể không áp dụng các bản vá từ BIND chạy trên nền tảng Unix không có các bản vá lỗi thường xuyên như các hệ thống khác. Bản vá lỗi cũng có thể gây ảnh hưởng tới doanh nghiệp nếu nó có vấn đề. Các nhà cung cấp DNS đang xem xét để nâng cấp lên phiên bản BIND 9.9.7-P2 hay BIND 9.10.2-P3.<Chi tiết>

Bkav cho biết, vẫn có tới 80% server MongoDB của các tổ chức được đơn vị này gửi cảnh báo khẩn cấp, ngày 23/7 còn tồn tại lỗ hổng gây lộ, lọt thông tin dữ liệu. Ngày 29/7, Công ty Bkav cho biết, sau 6 ngày kể từ khi cảnh báo về lỗ hổng trên hệ quản trị cơ sở dữ liệu MongoDB được Bkav phát đi, đến nay về cơ bản các hệ thống quan trọng như các trang thanh toán, thương mại điện tử, tin tức đều đã xử lý lỗi trên hệ thống.

Tuy nhiên, cũng theo đại diện Bkav, trong khoảng 100 đơn vị đã được Bkav gửi cảnh báo khẩn cấp, vẫn còn tới 80% server MongoDB của các tổ chức được cảnh báo còn tồn tại lỗ hổng.<Chi tiết>

ĐỖ THỤY (tổng hợp)