A weekly security roundup covering: LG smart TV app store apps secretly enrolling TVs into proxy botnets; Microsoft extending Windows 10 security updates to October 2027; Russian hacker groups phishing Signal users to steal backup authentication tokens; a researcher demonstrating payload injection via WiFi SSIDs, TLS certificates, and LoRa node names leading to RCE and XSS on RIPE NCC; a new CitrixBleed memory leak vulnerability (CVE-2026-8451) in Citrix Netscaler; a LastPass marketing partner breach exposing customer contact data; a PeerTube emergency security update; and denial-of-service vulnerabilities in Apple AirDrop and Google Quick Share.
Nguồn: https://hackaday.com/2026/07/03/this-week-in-security-windows-10-gets-another-year-smarttv-botnets-hiding-payloads-and-lastpass-customer-leak. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Nhóm phát triển PHP vừa tung ra phiên bản 8.4.23, một bản cập nhật bảo mật quan trọng cho nhánh PHP 8.4. Người dùng nên nâng cấp ngay lập tức, tải về từ trang chính thức.
Lập trình viên cần đọc để cập nhật về phí bảo mật mới trong PHP 8.4.23, giúp bảo vệ ứng dụng của mình trước các lỗ hổng nguy hiểm và duy trì an toàn cho hệ thống.
Nhóm phát triển PHP vừa phát hành phiên bản 8.2.32, tập trung vào vá lỗ hổng bảo mật. Người dùng PHP 8.2 được khuyến cáo nâng cấp ngay lập tức. Tải xuống mã nguồn và bản cài Windows tại trang tải xuống chính thức, kèm chi tiết trong bản ghi thay đổi.
Nếu bạn đang sử dụng PHP 8.2 và muốn bảo vệ hệ thống của mình khỏi các lỗ hổng bảo mật mới nhất, hãy cập nhật ngay phiên bản 8.2.32 để tránh rủi ro an ninh.
Nhóm phát triển PHP vừa công bố phiên bản 8.3.32, bản phát hành tập trung vào vá lỗ hổng bảo mật. Người dùng PHP 8.3 nên nâng cấp ngay lập tức, tải xuống từ trang chính thức.
Lập trình viên nên đọc bài này vì phiên bản mới này là một bản cập nhật an toàn (security patch) cho PHP 8.3, giúp bảo vệ hệ thống ứng dụng của bạn khỏi các lỗ hổng bảo mật mới.
SteamOS, hệ điều hành Linux của Valve, có tiềm năng thay thế Windows trên PC gaming nhờ hỗ trợ Proton chạy game Windows và chính sách mở cho phần cứng tùy chỉnh. Dù Steam Machine có thể thất bại, SteamOS đang dần trở thành lựa chọn thay thế nhờ ưu điểm tập trung vào gaming và sự hỗ trợ từ cộng đồng.
Là người phát triển game hoặc PC, bạn nên đọc bài này để hiểu cách SteamOS và Proton đang mở ra những cơ hội mới cho hệ sinh thái game trên Linux, giúp bạn tìm hiểu về tương lai của nền tảng này trong việc tối ưu hóa và phát triển ứng dụng game trên các thiết bị khác với Windows.
Microsoft vừa tung WSL containers ra bản preview công khai, tích hợp hỗ trợ container …
Cựu kỹ sư Microsoft Dave Plummer vừa giới thiệu TinyRetroPad, phiên bản Notepad siêu nhẹ chỉ 2,5KB, loại bỏ hoàn toàn AI (như Copilot), tính năng thừa thãi và phụ thuộc DLL, quay trở lại tinh thần chỉnh sửa văn bản thuần túy ban đầu. Phần mềm nhắm đến người dùng cần chỉnh sửa nhanh các file INI hay config mà không cần AI, đăng nhập tài khoản hay bất kỳ "bloatware" nào.
Lập trình viên nên đọc bài này để hiểu cách tối ưu hóa công cụ cơ bản như Notepad bằng kiến thức kiến trúc phần mềm và thiết kế đơn giản, giúp họ áp dụng các nguyên tắc này vào dự án của mình để giảm bloat và cải thiện hiệu suất.
Microsoft đã phát hành tính năng WSL containers dưới dạng preview công khai, cho phép chạy container Linux trực tiếp trên Windows Subsystem for Linux (WSL) mà không cần công cụ bên thứ ba như Docker. Tính năng mới này bổ sung lệnh wslc.exe và API container dựa trên NuGet hỗ trợ C, C++, C#, tích hợp MSBuild và CMake, giúp các ứng dụng Windows tương tác với container trong quá trình build và triển khai. Bản preview có sẵn trên trang GitHub của WSL, dự kiến container sẽ trở thành tính năng cốt lõi của WSL trong tương lai.
Lập trình viên phát triển ứng dụng C/C++ hoặc C# sẽ tìm hiểu WSL containers để tiết kiệm thời gian và chi phí, tránh phụ thuộc vào các công cụ bên ngoài như Docker, đồng thời tích hợp phát triển Linux vào môi trường Windows một cách tự nhiên và hiệu quả.
Matteo Collina, maintainer của HTTP stack và thư viện undici trong Node.js, cho rằng CVE-2026-48931 (vấn đề poisoning hàng đợi response HTTP/1.1 trong http.Agent) không đáng được xếp vào danh mục CVE vì đây là đặc tính vốn có của giao thức HTTP/1.1, không phải lỗi riêng của Node.js. Bản vá ban đầu gây lỗi giả (ERR_STREAM_PREMATURE_CLOSE) do listener 'data' công khai, ảnh hưởng tới nhiều dự án như Google API, Firebase CLI, Backstage. Sau đó, lỗi được khắc phục bằng cách thay thế bằng hook nội bộ onread. Ông cũng cảnh báo về tình trạng báo cáo bảo mật do AI tạo tràn lan, dẫn đến phân loại sai CVEs.
Bạn nên đọc bài này để hiểu cách phân biệt giữa các lỗ hổng thực sự là Node.js hay là cơ chế HTTP/1.1 chung, tránh rơi vào tình trạng đánh nhầm các cải thiện kỹ thuật thành CVE khi chúng không ảnh hưởng riêng biệt đến dự án của mình.