Gia đình Intecom
  1. Trang chủ
  2. Ngoài Ngõ
  3. An ninh mạng tuần qua: Windows 10 cập nhật tự động dù muốn hay không

An ninh mạng tuần qua: Windows 10 cập nhật tự động dù muốn hay không

27/07/2015 0

Microsoft buộc Windows 10 tự động cập nhật cho người sử dụng phiên bản Pro và Home cho dù có muốn hay không, ngoại trừ những người sử dụng phiên bản Enterprise.

Microsoft buộc Windows 10 tự động cập nhật cho người sử dụng phiên bản Pro và Home cho dù có muốn hay không, ngoại trừ những người sử dụng phiên bản Enterprise.

• An ninh mạng tuần qua: Lỗ hổng trong java bị khai thác, Firefox chặn Adobe Flash
• An ninh mạng tuần qua: Virus “đòi tiền chuộc” tiếp tục hoành hành tại Việt Nam
• An ninh mạng tuần qua: Facebook cho phép gửi tiền qua ứng dụng Messenger


Windows 10 cập nhật tự động sẽ an toàn cho người dùng nhưng cũng có chút phiền toái.

1. Microsoft thông báo Windows 10 cập nhật tự động dù muốn hay không

Microsoft buộc Windows 10 tự động cập nhật cho người sử dụng phiên bản Pro và Home cho dù có muốn hay không, ngoại trừ những người sử dụng phiên bản Enterprise. Mọi chương trình phần mềm cần cập nhật thường xuyên, nhưng việc người dùng Windows có khả năng trì hoãn vĩnh viễn các bản cập nhật phần mềm Windows gây khó khăn cho Microsoft để giữ cho nền tảng hệ điều hành của hãng an toàn và luôn cập nhật.<Chi tiết>

2. Microsoft vá lỗ hổng trong Font Driver Could, lỗi cho phép khai thác thực thi mã từ xa

Lỗ hổng trong Microsoft Windows CVE-2015-2426 cho phép thực thi mã từ xa nếu người dùng mở một tài liệu hoặc vào một website được nhúng OpenType fonts. Attacker có thể kiểm soát hoàn toàn hệ thống bị ảnh hưởng và thực hiện cài chương trình độc hại và sửa xoá, thêm tài khoản với quyền quản trị.

Cập nhật bảo mật này được đánh giá quan trọng cho tất cả các phiên bản của Microsoft Windows. Các phiên bản Windows 8/8.1, Windows 7, Windows Vista và Windows RT, Windows Server 2008/2008 R2, Windows Server 2012/2012 R2 đều cần cập nhật bản vá.<Chi tiết>

3. Quản trị MongoDB vô tình để lộ 600TB dữ liệu

MongoDB được sử dụng bởi các tổ chức như eBay, LinkedIn, SAP và Sourceforge. Nhà nghiên cứu an ninh mạng John Matherly cho biết, quản trị hệ thống của MongoDB vừa vô tình để lộ gần 600TB dữ liệu vì chạy các phiên bản cũ và không được vá của phần mềm.

Chuyên gia này không lấy làm ngạc nhiên với kết quả tìm kiếm của Shodan, khi file cấu hình “mongodb.conf” được chia sẻ trên Github từ năm 2013 cho thấy MongoDB mặc định theo dõi localhost. Vấn đề này đã được cảnh báo từ đầu năm 2012 (SERVER-4216) nhưng các nhà phát triển MogoDB phải mất hơn 2 năm để xử lý.

Matherly cho hay các phiên bản cũ hơn 2.6 đều bị ảnh hưởng. Nghiêm trọng ở chỗ hầu hết người dùng Mongo đều đang sử dụng các phiên bản 2.4.9 và 2.4.10, tiếp đó là 2.6.7. <Chi tiết>


Flash có nguy cơ bị loại bỏ do sự xuất hiện của HTML5.

4. Loại bỏ Flash và chuyển đổi sang HTML5

Công ty tên tuổi lớn Twitch mới đây đã thay thế flash bằng HTML5 và javascript. Flash được xem như không hiệu quả trong những tháng gần đây, YouTube giảm lượng người xem vì đã để tùy chọn mặc định trong tháng, thay vì chuyển đổi sang HTML5. Vụ rò rỉ dữ liệu của hackteam đã làm cho flash của Adobe thật sự khủng hoảng và phải bị loại bỏ vì sự bảo mật lỏng lẻo của mình.<Chi tiết>

5. Google vá 43 lỗi trong Chrome

Hai trong số các lỗ hổng bảo mật nghiêm trọng được fix trong Chrome 44 là 2 lỗi XSS (CVE-2015-1286 CVE-2015-1275). Một lỗ hổng nằm trong Web layout engine và một lỗ hổng nằm trong Chrome Android. Lỗ hổng Universal XSS cho phép attacker khai thác các trình duyệt thay vì trên các trang web. Hai lỗ hổng này được các nhà nghiên cứu báo cáo cho google và nhận được 7500 USD cho mỗi lỗi từ chương trình bug bounty.<Chi tiết>

6. Lỗ hổng thực thi mã từ xa trên Joomla Helpdesk Pro

Nhà nghiên cứu Kasper Bertelsen và các đồng nghiệp phát hiện các lỗ hổng bao gồm: Tham chiếu đối tượng trực tiếp (Direct Object Reference), XSS, SQL Injection, chèn tập tin cục bộ (Local file injection), chuyển hướng đường dẫn và tải tập tin tùy ý (Path traversal and arbitrary file upload).

Lỗ hổng Local File Disclosure tồn tại do một dịch vụ upload và download tệp đính kèm không hạn chế được các file tải về. Hacker có thể tải về tập tin configuration.php, trong đó có chứa các thông tin nhạy cảm của người quản trị website như tên người dùng và mật khẩu truy cập vào cơ sở dữ liệu, các thông tin liên quan đến FTP.

Các phiên bản dưới 1.4.0 của Helpdesk Pro đều có nguy cơ tồn tại lỗ hổng. Người dùng được khuyến cáo nên cập nhật phiên bản mới nhất của Helpdesk Pro.<Chi tiết>

7. 4 lỗ hổng 0-day trong Internet Explorer Mobile được tiết lộ

HP’s Zero Day Initiative đã phát hành 4 lỗ hổng 0-day mới trong trình duyệt Internet Explorer dành cho điện thoại di động, lỗ hổng này cho phép thực thi mã từ xa trên điện thoại chạy hệ điều hành Windows Phone. 4 lỗ hổng này ban đầu được báo cáo với Microsoft là bị ảnh hưởng trên máy tính sau đó phát hiện ra phiên bản trên điện thoại cũng lỗi bị tương tự nhưng chưa được vá lỗi.<Chi tiết>

8. WordPress phát hành phiên bản mới 4.2.3 vá lỗ hổng XSS nghiêm trọng

WordPress vừa ra mắt phiên bản WordPress 4.2.3 với gần 20 lỗ hổng được vá. Nổi bật nhất là lỗ hổng (XSS) có thể cho phép tin tặc nhúng HTML độc hại, javascript, flash hoặc chèn vào một mã khai thác lừa người dùng thực hiện một script độc hại trên máy tính nhằm ăn cắp thông tin nhạy cảm của người sử dụng. Hiện tại vẫn chưa có thông tin chi tiết về lỗ hổng được công bố. Lỗ hổng này ảnh hưởng tới WordPress từ 4.2.2 trở về trước.<Chi tiết>

ĐỖ THỤY (tổng hợp)
Các bài viết khác

Bình luận

Gửi bình luận

TỔNG CÔNG TY TRUYỀN THÔNG ĐA PHƯƠNG TIỆN (VTC)

CÔNG TY VTC CÔNG NGHỆ VÀ NỘI DUNG SỐ (VTC INTECOM)

Tầng 13-14, Tòa nhà VTC 23 Lạc Trung, Quận Hai Bà Trưng, Hà Nội
Giấy phép hoạt động số 31/GP-NHNN

CHỊU TRÁCH NHIỆM QUẢN LÍ NỘI DUNG

Ông Trần Phương Huy

thông tin liên hệ
(+84)24 4455 1530
intecom.vtc.vn
trụ sở hà nội

Tầng 14, Tòa nhà VTC 23 Lạc Trung, Quận Hai Bà Trưng, Hà Nội

Văn phòng đại diện TP. hồ chí minh:

259 Đồng Đen, Phường 10, Quận Tân Bình, TP. Hồ Chí Minh