![Security updates for Monday [LWN.net]](/images/og-default.png)
A weekly security updates roundup from LWN.net listing recent security advisories across Linux distributions, with Debian noted as a recipient. The content appears to be a routine security bulletin digest.
Nguồn: https://lwn.net/Articles/1082642. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Các nhà nghiên cứu phát hiện cuộc tấn công Ghostcommit, nơi mã độc hại được giấu trong ảnh PNG và tham chiếu qua file AGENTS.md. Khi AI coding agent xem xét pull request, nó đọc lệnh ẩn và có thể bị điều khiển tiết lộ bí mật bằng cách viết ngược vào mã nguồn dưới dạng obfuscated. Cursor và Antigravity dễ bị khai thác hơn Claude Code, bất kể model sử dụng. Biện pháp phòng thủ gồm hạn chế truy cập secret, kiểm tra file đính kèm phi văn bản và giám sát hoạt động bất thường của AI agent.
Lập trình viên nên đọc bài này để hiểu cách các tấn công mới như Ghostcommit có thể lợi dụng lỗ hổng trong quy trình code review AI để trốn tránh phát hiện và xâm nhập vào hệ thống thông qua các hình ảnh ẩn chứa lệnh độc hại.
Các hacker nhắm vào Hiệp hội bóng đá Argentina có thể đã xâm nhập thông qua nhiễm mã độc infostealer từ khoảng một năm trước, có liên quan đến động cơ thù địch từ World Cup. Sự cố cho thấy cách dữ liệu đăng nhập bị đánh cắp từ malware có thể bị khai thác muộn để truy cập trái phép vào hệ thống.
Là lập trình viên bảo mật, đừng bỏ qua cách kẻ tấn công lợi dụng lỗ hổng từ mã độc thu thập thông tin lâu năm để xâm nhập hệ thống, vì điều này cho thấy sự nhạy cảm của ứng dụng và cơ sở hạ tầng trong thời gian dài mà bạn chưa phát hiện.
Zen Browser là trình duyệt dựa trên Firefox nhưng bổ sung nhiều tính năng hiện đại mà Firefox thiếu như workspaces, split view, tab dọc, xem trước link, và tổ chức thư mục. Sử dụng engine Gecko thay vì Chromium, nó tránh được hạn chế Manifest v3, giúp uBlock Origin hoạt động không giới hạn. Có sẵn dưới dạng AppImage/Flatpak trên Linux (cùng Windows/macOS), hiện ở giai đoạn beta nhưng đủ ổn định để sử dụng hàng ngày.
Lập trình viên nên đọc bài này để khám phá cách Zen Browser tối ưu hóa hiệu suất và tính mở rộng cho Firefox thông qua các tính năng như Gecko engine và hỗ trợ uBlock Origin mà không bị hạn chế của Manifest V3, giúp phát triển ứng dụng web và plugin hiệu quả hơn.

Một kỹ sư bảo mật xây dựng hệ thống chấm điểm tự động cho các MCP server nhằm đánh giá mức độ phù hợp sử dụng doanh nghiệp, dựa trên 29 tiêu chí như guardrails runtime, SAST scan và trust models. Kết quả cho thấy 1/10 server đạt dưới 40/100 điểm, 18% server phổ biến (trên 1000 sao GitHub) có lỗ hổng bảo mật, và 184 server thay đổi định nghĩa tool sau khi công khai — tiềm ẩn nguy cơ tấn công "rug pull". Hệ thống này miễn phí truy cập, cung cấp API cho các workflow tự động.
Lập trình viên nên đọc bài này để hiểu cách xây dựng hệ thống đánh giá an ninh tự động hóa, từ đó áp dụng kiến thức về bảo mật, kiểm tra mã và quản lý phụ thuộc để phát triển ứng dụng an toàn hơn trong thực tế.
Người dùng chia sẻ lý do chuyển từ Arch Linux sang CachyOS, một bản phân phối dựa trên …
Linux 7.2-rc3 năm 2026 bất ngờ vá các lỗi cho driver bàn phím, chuột và joystick của SEGA Dreamcast, bao gồm sửa lỗi truy xuất con trỏ null trong driver chuột Maple tồn tại từ 2017. Các bản vá này tiếp nối những cải tiến trước đó cho driver GD-ROM và driver VMUFAT (không được chấp nhận do yêu cầu khắt khe về file-system).
Lập trình viên yêu thích hệ thống điều khiển thiết bị cũ hoặc phát triển phần mềm tương tác với các thiết bị retro sẽ tìm thấy những giải pháp quan trọng cho các lỗi về bảo mật và hiệu suất trong các bộ điều khiển nhập liệu của Dreamcast, đặc biệt là khi muốn tích hợp hoặc debug các ứng dụng tương tác với các thiết bị này.
Hệ điều hành Linux bất biến (Immutable Linux) phân phối OS dưới dạng image phiên bản có lớp cơ sở chỉ đọc, bảo vệ hệ thống khỏi bị can thiệp trong khi vẫn cho phép tùy chỉnh thư mục home, cấu hình và ứng dụng. Các bản cập nhật được áp dụng nguyên tử, hỗ trợ rollback đơn giản qua khởi động lại, với các phương pháp triển khai khác nhau như Btrfs snapshots, layered packages hay Flatpak. Lợi ích bảo mật nổi bật là tự động khôi phục trạng thái an toàn sau khi bị xâm nhập, mặc dù hệ sinh thái này vẫn đang phát triển.
Lập trình viên nên đọc để khám phá cách Immutable Linux bảo vệ hệ thống khỏi lỗi cấu hình, tấn công hoặc lỗi update bằng cách giữ hệ thống nguyên trạng trong khi cho phép tùy chỉnh cá nhân mà không lo mất dữ liệu.
Matteo Collina, maintainer của HTTP stack và thư viện undici trong Node.js, cho rằng CVE-2026-48931 (vấn đề poisoning hàng đợi response HTTP/1.1 trong http.Agent) không đáng được xếp vào danh mục CVE vì đây là đặc tính vốn có của giao thức HTTP/1.1, không phải lỗi riêng của Node.js. Bản vá ban đầu gây lỗi giả (ERR_STREAM_PREMATURE_CLOSE) do listener 'data' công khai, ảnh hưởng tới nhiều dự án như Google API, Firebase CLI, Backstage. Sau đó, lỗi được khắc phục bằng cách thay thế bằng hook nội bộ onread. Ông cũng cảnh báo về tình trạng báo cáo bảo mật do AI tạo tràn lan, dẫn đến phân loại sai CVEs.
Bạn nên đọc bài này để hiểu cách phân biệt giữa các lỗ hổng thực sự là Node.js hay là cơ chế HTTP/1.1 chung, tránh rơi vào tình trạng đánh nhầm các cải thiện kỹ thuật thành CVE khi chúng không ảnh hưởng riêng biệt đến dự án của mình.