Lỗ hổng bảo mật trên phiên bản Firefox 39.0.2 được công bố 5/8 khiến hacker có thể xâm nhập vào máy tính của người dùng và upload file trên các máy tính này lên máy chủ ở bên ngoài. Lỗ hổng bảo mật này khai thác thông qua chức năng đọc file PDF được tích hợp trên Firefox, khi người dùng truy cập vào website có chứa mã độc khai thác lỗ hổng bảo mật này này sẽ bị hacker âm thầm đánh cắp dữ liệu trên máy tính mà người dùng không hề hay biết.

Lỗ hổng bảo mật này ảnh hưởng đến mọi phiên bản của Firefox trên Windows và Linux, trong khi đó người dùng Firefox trên di động cũng như Firefox trên Mac không bị ảnh hưởng bởi lỗi này. Người dùng nên nâng cấp lên phiên bản Firefox 39.0.3 mới nhất để khắc phục lỗ hổng bảo mật nghiêm trọng này.<Chi tiết>

Hàng triệu thiết bị có thể bị xâm nhập thông qua khai thác một plugin cài đặt sẵn bởi các nhà sản xuất điện thoại Android. Hầu hết các nhà sản xuất thiết bị Android đều cài đặt sẵn plugin ‘Remote Support Tool (mRST)’ trên điện thoại nhằm hỗ trợ người dùng sử dụng công cụ điều khiển từ xa như RSupport hoặc TeamViewer.

Một lỗ hổng nghiêm trọng trong mRTS plugin cho phép ứng dụng độc hại đoạt quyền truy cập, ngay cả khi thiết bị chưa được root. Theo các nhà nghiên cứu người Israel là Ohad Bobrov và Avi Bashan thuộc công ty Check Point cho biết, lỗ hổng Certifi-Gate nằm trong cách thức các nhà sản xuất sử dụng chứng chỉ số trên công cụ hỗ trợ từ xa. Những công cụ này có quyền truy cập “root” trên thiết bị chưa được “root”. Người dùng không thể gỡ bỏ plugin này do nó nằm trong lõi của hệ điều hành.<Chi tiết>

Cuộc tấn công mạng xảy ra vào 5/8 tại Carphone Warehouse dẫn đến thông tin thẻ tín dụng của 90.000 khách hàng bị đánh cắp. Công ty đã gửi email cảnh báo tới tất cả người dùng bị ảnh hưởng để thông báo cho ngân hàng kiểm tra các hoạt động bất thường trong tài khoản. Chỉ những khách hàng được kết nối thanh toán thương mại điện tử thông qua các thương hiệu bán lẻ là e2save, OneStopPhoneShop và Mobiles.co.uk là bị ảnh hưởng bởi cuộc tấn công này.<Chi tiết>

Window updates từ một bản cập nhật máy chủ không được cấu hình mã hoá dữ liệu có thể bị tấn công inject phần mềm độc hại bằng cách sử dụng WSUS server trong cùng một mạng. Điều này đã được công ty an ninh mạng Context chứng minh tại hội thảo black hat 2015 (http://www.contextis.com/documents/161/CTX_WSUSpect_White_Paper.pdf).

Thông thường các bản vá lỗi của Windows được phục vụ đến người dùng cuối thông qua các máy chủ Windows. Tuy nhiên, với người dùng doanh nghiệp thì các bản vá lỗi được gửi đến Server Update Services (WSUS) của các doanh nghiệp và người quản trị WSUS triển khai bản cập nhật phần mềm Windows cho các máy chủ và máy trạm trong công ty. Do WSUS không sử dụng SSL để mã hoá dữ liệu khi cài đặt nên có thể bị tấn công MITM.<Chi tiết>

Các nhà nghiên cứu bảo mật IBM đã cảnh báo một lỗ hổng nghiêm trọng ảnh hưởng tới 55% các thiết bị Android. Lỗ hổng CVE-2015-3825 ảnh hưởng đến các phiên bản Android 4.3 - 5.1. Thông tin chi tiết về lỗ hổng đang được chia sẻ tại Hội thảo USENIX Workshop on Offensive Technologies đang được tổ chức tại Washington.<Chi tiết>

Các nhà phát triển của OpenSSH công bố phiên bản 7.0 vào thứ Ba ngày 11/8. Phiên bản này bao gồm các tính năng mới, vá lỗ hổng bảo mật và thêm tính năng mã hoá và cải tiến mật mã. OpenSSH là dự án miễn phí OpenBSD của Secure Shell (SSH)mã hoá giao thức mạng 2.0. OpenSSH mã hoá traffic và các phương pháp xác thực.<Chi tiết>

Microsoft đã phát hành bản vá lỗi tháng 8 giải quyết các lỗ hổng bảo mật tổng cộng 14 Bulletin phát hành giải quyết 58 CVEs. 4 bản vá được đánh giá là các lỗ hổng "“Critical" trong Internet Explorer, Graphics Component, Office và Edge. 11 bản vá lỗi khác được đánh giá là “Important” là các lỗ hổng nằm trong Remote Desktop Protocol (RDP), Server Message Block (SMB), XML Core Services, Mount Manager, System Center Operations Manager, UDDI Services, Command Line, WebDAV, Windows và .NET Framework.<Chi tiết>

Offensive Security, trung tâm đào tạo bảo mật hàng đầu thế giới về lĩnh vực tester và hacker cuối cùng cũng chính thức ra mắt phiên bản Kali Linux 2.0 . Hệ điều hành mã nguồn mở mang tên mới Kali Sana cùng với hàng trăm công cụ kiểm thử, điều tra số, xâm nhập và kĩ nghệ đảo ngược được tích hợp với nhau.

Kali Linux 2.0 cung cấp một giao diện người dùng mới với trải nghiệm thiết kế hợp lí hơn cùng với một danh sách menu đa mức và các công cụ. Tin vui là người dùng sẽ nhận được cập nhật công cụ và hệ điều hành thường xuyên.<Chi tiết>

ĐỖ THỤY (tổng hợp)