Bản tin an ninh mạng, ngày 08/10/2018

SecurityDaily xin gửi đến bạn một số tin tức về bảo mật diễn ra trong tuần vừa qua để bạn nắm được và cập nhật.

Phát hiện chip do thám của Trung Quốc trong máy chủ các công ty Mỹ

“Apple đã phát hiện ra loại chip do thám của Trung Quốc trong máy chủ hãng Super Micro vào tháng 5 2015, sau khi nhận thấy hoạt động mạng và vấn đề trong phần mềm hệ thống đáng ngờ.”

“Vì loại chip do thám của Trung Quốc này rất nhỏ, số lượng mã nó có thể chứa cũng ít. Nhưng quan trọng là loại chip này có thể khiến thiết bị trao đổi với những máy tính ẩn danh trên Internet có mã phức tạp và chuẩn bị điều kiện cần thiết để hệ điều hành thiết bị chấp nhận mã mới.”

Những chính sách bảo mật tiện ích mở rộng Chrome Google vừa công bố

Trong vài năm trở lại đây, chúng ta thấy số lượng tiện ích mở rộng độc hại tăng lên đáng kể. Google nhận thức được điều đó và đã chủ động thay đổi cách bảo mật tiện ích mở rộng Chrome an toàn hơn.

Thứ 2 tuần này, Google đã công bố 5 chính sách bảo mật tiện ích mở rộng Chrome sẽ có mặt trong phiên bản Chrome 70 nhằm giúp người dùng kiểm soát và thực hiện bảo mật, cũng như biến hệ sinh thái Chrome thành một nơi an toàn hơn.

Foxit PDF Reader vá lỗi thực thi mã từ xa nghiêm trọng

Thứ 6 vừa qua, Foxit đã tung ra bản vá cho Foxit Reader 9.3 và Foxit PhantomPDF 9.3, xử lí hơn 124 lỗ hổng. Những phiên bản bị ảnh hưởng là Foxit Reader  Foxit PhantomPDF phiên 9.2.0.9297 trở về trước trên nền tảng Windows.

18 lỗ hổng trong số được Foxit PDF Reader vá lỗi là do Cisco tự phát hiện, tất cả đều có thang điểm CVSSv3 là 8.0, hoặc được đánh giá là có mức độ nghiêm trọng cao. 18 lỗi tự phát hiện được Foxit PDF Reader vá lỗi đều nằm trong cơ chế JavaScript của phần mềm.

7 lỗ hỗng trong đó là lỗ hổng trong cơ chế JavaScript use-after-free, có thể gây ra thực thi mã từ xa.

Phát hiện lỗ hổng vượt mật khẩu iPhone XS để lấy liên lạc, hình ảnh

Lỗ hổng vượt mật khẩu iPhone XS và iOS 12 của Apple có thể cho phép tin tặc truy cập hình ảnh và liên lạc (bao gồm cả số điện thoại và email) trên điện thoại iPhone XS bị khóa.

Lỗ hổng cho phép một người sở hữu điện thoại iPhone chạy iOS 12 vượt qua lớp xác thực mật khẩu trên màn hình chờ.

9 điều cần biết sau vụ rò rỉ dữ liệu tài khoản Facebook

Access token có được từ vụ rò rỉ dữ liệu tài khoản Facebook này có thể giúp tin tặc tự động lấy thông tin từ các tài khoản sử dụng API mà không cần mật khẩu hay mã xác thực hai yếu tố.

Góc kiến thức an ninh mạng

• Phương pháp phòng chống mã độc
• Phát hiện mã độc dựa trên các hoạt động bất thường
• Web Security: Các lớp trong kiến trúc web