Phiên bản 7-Zip 26.02 vừa được phát hành nhằm vá lỗ hổng thực thi mã từ xa (RCE), cho phép kẻ tấn công thực thi mã độc khi người dùng mở các tệp nén được tạo đặc biệt.
Vì sao nên đọc: Lập trình viên nên đọc bài này để hiểu cách bảo mật ứng dụng của họ có thể bị đe dọa khi xử lý các tệp nén không an toàn, giúp họ cập nhật kiến thức về các lỗ hổng mới và cách phòng ngừa rủi ro trong hệ thống.
Trả lời 3 câu hỏi ngắn để nhận điểm thưởng cho bài này. Chỉ làm khi bạn muốn lấy điểm.
3 câu hỏi · dưới một phút · không bắt buộc
Nguồn: https://www.bleepingcomputer.com/news/security/update-now-7-zip-fixes-rce-flaw-exploitable-with-malicious-archives. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Đọc tin ở đây, luyện code, học theo lộ trình và luyện IELTS trên các sản phẩm anh em — tất cả kết nối với nhau trong hệ sinh thái 8 Sync Dev.
Cổng chính của hệ sinh thái: giới thiệu sản phẩm, blog và bảng giá trọn bộ.
Khám pháHọc theo lộ trình với video, quiz chấm tự động, certificate và mentor đang làm nghề.
Xem khóa họcLuyện thuật toán chấm tự động 7 ngôn ngữ, chạy code ngay trên trình duyệt.
CISA yêu cầu các cơ quan chính phủ ưu tiên vá hai lỗ hổng Fortinet FortiSandbox đang bị khai thác tích cực.
Lập trình viên nên đọc bài này để hiểu cách bảo mật hệ thống của Fortinet, đặc biệt là các lỗ hổng được khai thác ngay lập tức, giúp họ có thể tích hợp kiến thức này vào việc phát triển ứng dụng an toàn và khắc phục nguy cơ bảo mật trong các dự án tương tự.
AI cho doanh nghiệp B2B: chat đa kênh AI phản hồi, gom lead tiềm năng, phân loại khách hàng.
Sắp ra mắtCISA yêu cầu các cơ quan liên bang vá lỗ hổng nghiêm trọng trong Oracle E-Business Suite, đang bị khai thác tích cực, trước thứ Bảy.
Lập trình viên nên đọc để hiểu cách bảo mật hệ thống Oracle, tìm hiểu về nguy cơ exploit mới và cách triển khai giải pháp patching hiệu quả trong các ứng dụng doanh nghiệp, giúp bảo vệ hệ thống khỏi tấn công từ các lỗ hổng này.
Mô hình AI Mythos của Anthropic đã phát hiện lỗ hổng trong các hệ thống bí mật của chính phủ Mỹ trong một cuộc thử nghiệm kiểm tra đỏ có kiểm soát, chứ không phải do tấn công từ bên ngoài. Kết quả này nhấn mạnh khả năng của Mythos trong việc tìm ra hàng nghìn lỗ hổng zero-day trên các hệ điều hành và trình duyệt lớn, dù chính phủ Mỹ từng hạn chế công khai mô hình này sau một vụ jailbreak riêng.
Những phát hiện về khả năng phát hiện lỗ hổng trong hệ thống an ninh quốc gia của Mỹ cho thấy AI mạnh mẽ như Mythos có thể trở thành công cụ quan trọng trong bảo mật, nhưng cũng đặt ra thách thức về kiểm soát và ứng dụng công bằng—là vấn đề cần thảo luận để xây dựng hệ sinh thái an toàn và minh bạch cho công nghệ AI.
Các "yellow teams" mới nổi kết hợp giữa tấn công và phòng thủ an ninh mạng, sử dụng mô hình AI tiên tiến như Claude Mythos hay GPT-5.5 để phát hiện lỗ hổng thông qua các framework điều khiển (harness) cho phép cả red team và blue team khai thác AI hiệu quả. Các công ty như Cisco, Microsoft hay Cloudflare đã xây dựng kiến trúc harness riêng, tích hợp vào quy trình phát triển phần mềm (SDLC) nhằm ngăn chặn lỗ hổng tái diễn.
Lập trình viên nên đọc bài này để hiểu cách xây dựng các hệ thống bảo mật thông minh, từ thiết kế các harness AI an toàn cho đến cách tích hợp các mô hình AI vào quy trình phát triển an ninh mạng, giúp bảo vệ ứng dụng trước các mối đe dọa mới.
Bản cập nhật tuần này của Metasploit bổ sung ba module khai thác mới: RCE qua tiêm prompt vào Flowise CSV Agent (CVE-2026-41264), module persistence Apache .htaccess cài web shell mod_cgi trên Linux, và leo quyền nâng cao macOS thông qua PackageKit lợi dụng ~/.zshenv (CVE-2024-27822). Các cải tiến bao gồm nhận diện FTP bằng recog, bổ sung trường MCP Server tool, theo dõi yêu cầu chứng chỉ AD CS, và đầu ra trace Kerberos chi tiết hơn. Bản cập nhật cũng khắc phục lỗi sinh EXE AARCH64 cho Windows và bất đồng kiểu SID trong module RBCD.
Lập trình viên phát triển an ninh mạng hoặc bảo mật hệ thống nên đọc để cập nhật các lỗ hổng mới như CVE-2026-41264 và CVE-2024-27822, giúp họ xây dựng các giải pháp phòng ngừa và khắc phục nhanh chóng trước các cuộc tấn công mới nổi.
Juan Mathews Rebello Santos trở thành người đầu tiên ở Brazil tốt nghiệp ngành an ninh mạng khi bị khiếm thị, đồng thời là nhà nghiên cứu mù đầu tiên công bố CVE (CVE-2025-26326) trên NVD của Mỹ. Anh phát hiện lỗ hổng trên các sản phẩm của Google, Microsoft, Nubank và Smiles chỉ bằng công cụ screen reader, đồng thời sáng lập BNVD.org, viết sách an ninh mạng bằng tiếng Bồ Đào Nha dành cho người khiếm thị và sở hữu hơn 50 chứng chỉ. Bài viết cũng nhấn mạnh những rào cản tiếp cận trong ngành công nghệ đối với người khiếm thị, từ hệ thống đại học không thân thiện đến hàng trăm đơn xin việc không hồi âm, và kêu gọi thiết kế bao dung là yếu tố bắt buộc, không phải sự ưu ái.
Đọc bài này để hiểu cách một lập trình viên mù nhìn đã phá vỡ giới hạn kỹ thuật số bằng sự sáng tạo và kỹ năng chuyên môn, đồng thời khám phá những thách thức thực tế mà những người có khuyết tật thị giác phải đối mặt trong ngành công nghệ và cách họ có thể chuyển đổi những trở ngại thành cơ hội.
Experts say it’s a useful post-compromise tool, for those with the brain cells required to put it together
SAP vừa vá 16 lỗ hổng bảo mật trong các sản phẩm, trong đó có 3 lỗ hổng nghiêm trọng ảnh hưởng đến NetWeaver, Commerce Cloud và AppRouter.
Lập trình viên nên đọc bài này để cập nhật về các lỗ hổng nghiêm trọng trong hệ thống SAP—có thể ảnh hưởng trực tiếp đến ứng dụng backend của doanh nghiệp, từ đó giúp họ đánh giá rủi ro bảo mật và chuẩn bị giải pháp khắc phục kịp thời.