Security

Nguồn: watchTowr Labs Tóm tắt CVE-2026-41940 là lỗ hổng authentication bypass ảnh hưởng đến tất cả các phiên bản cPanel & WHM đang được hỗ trợ — phần mềm quản lý hosting chạy hơn 70 triệu domain. Lỗ hổng nằm trong cơ chế “session loading and saving”, cho phép kẻ tấn công bypass xác thực trên cả WHM (giao diện root-level admin) lẫn cPanel (giao diện người dùng). Theo KnownHost, lỗ hổng này đã bị khai thác trong thực tế như một zero-day trước khi có patch....

Nguồn: 404privacy.com Tóm tắt LinkedIn đang silently scan danh sách browser extension đã cài đặt của người dùng — không chỉ kiểm tra vài extension phổ biến, mà 6.278 extension tính đến tháng 4/2026. Danh sách này bắt đầu từ năm 2017 với 38 entry và đã được mở rộng liên tục bằng automated tooling crawl Chrome Web Store, parse manifest để lấy web-accessible resources, và thêm vào list. Kỹ thuật sử dụng là browser fingerprinting: LinkedIn inject script kiểm tra sự tồn tại của web-accessible resources từ từng extension....

Nguồn: OVHcloud Blog Tóm tắt Copy.Fail (CVE-2026-31431) là một zero-day nghiêm trọng trong Linux kernel, được Theori công bố ngày 29/4/2026. Lỗ hổng ảnh hưởng đến toàn bộ distro Linux kể từ năm 2017 và cho phép leo thang đặc quyền (privilege escalation) đáng tin cậy, không phụ thuộc vào race condition hay kernel address leak. Root cause là logic flaw trong module algif_aead — giao diện crypto AF_ALG của kernel....

Nguồn: PlanetScale Blog Tóm tắt Row Level Security (RLS) trong PostgreSQL cho phép định nghĩa security policy trực tiếp trong database thay vì application layer — mỗi query tự động bị lọc theo policy, không cần code ứng dụng xử lý. Tuy nhiên, PlanetScale lập luận rằng trong thực tế, footgun và gotcha của RLS thường outweigh lợi ích. Vấn đề đầu tiên là connection pooling. Postgres dùng kiến trúc process-per-connection, nên cần PgBouncer để pool connections....

Nguồn: agwa.name (via Hacker News) Tóm tắt Tác giả Andrew Ayer lập luận rằng FastCGI — giao thức ra đời năm 1996 — vẫn là lựa chọn tốt hơn HTTP cho communication giữa reverse proxy và backend. Vấn đề cốt lõi của HTTP/1.1 là không có explicit framing: message tự mô tả điểm kết thúc của nó theo nhiều cách khác nhau với vô số edge cases, dẫn đến HTTP desync attacks (request smuggling)....

Nguồn: corrode.dev via Hacker News Tóm tắt Vào tháng 4/2026, Canonical công bố 44 CVE trong uutils — bản tái cài đặt bằng Rust của GNU coreutils được tích hợp mặc định từ Ubuntu 25.10. Hầu hết các lỗ hổng này được phát hiện qua một cuộc kiểm toán bảo mật bên ngoài trước thời điểm phát hành Ubuntu 26.04 LTS. Điều đáng chú ý là tất cả các bug này tồn tại trong codebase Rust production, được viết bởi những lập trình viên giàu kinh nghiệm, và không có bug nào bị bắt bởi borrow checker, clippy lints hay cargo audit....

Nguồn: OpenAI Blog Tóm tắt (Không thể truy cập nội dung đầy đủ do bị chặn bởi 403 Forbidden) OpenAI công bố bài viết về an ninh mạng trong kỷ nguyên trí tuệ nhân tạo, phản ánh sự giao thoa ngày càng sâu giữa AI và lĩnh vực cybersecurity. Bài viết nằm trong danh mục “Global Affairs” của OpenAI, cho thấy đây là quan điểm của công ty về tác động địa chính trị và chiến lược của AI đối với bảo mật quốc gia và doanh nghiệp....

Nguồn: dustri.org Tóm tắt Nhà nghiên cứu bảo mật jvoisin đã phát hiện một loạt lỗ hổng nghiêm trọng trong Forgejo — nền tảng git forge mã nguồn mở mà Fedora gần đây chuyển sang sau Pagure. Chỉ trong một buổi tối sau giờ làm, ông tìm thấy SSRF ở nhiều điểm, thiếu CSP/Trusted-Types, lỗi mật mã học, vấn đề trong xác thực OAuth2/OTP, nhiều vector DoS, và rò rỉ thông tin diện rộng — đủ để chain thành một RCE đầy đủ, đánh cắp secret, và leo quyền OAuth2....

Nguồn: Wiz Research Tóm tắt Wiz Research đã phát hiện một lỗ hổng nghiêm trọng (CVE-2026-3854) trong cơ sở hạ tầng git nội bộ của GitHub, ảnh hưởng đến cả GitHub.com lẫn GitHub Enterprise Server. Bất kỳ người dùng đã xác thực nào cũng có thể thực thi lệnh tùy ý trên máy chủ backend của GitHub chỉ với một lệnh git push duy nhất — không cần công cụ đặc biệt nào....

Nguồn: Oravys Blog Tóm tắt Ngày 4/4/2026, nhóm tống tiền Lapsus$ đăng bán dữ liệu từ Mercor — một nền tảng tuyển dụng contractor cho các dự án AI training. Bộ dữ liệu bị đánh cắp ước tính khoảng 4TB, bao gồm thông tin của hơn 40.000 contractor: mẫu giọng nói, scan giấy tờ tùy thân (hộ chiếu/CMND) và selfie webcam. Năm vụ kiện tập thể được nộp trong 10 ngày sau khi sự kiện xảy ra, với lập luận rằng Mercor thu thập voice prints mà không làm rõ đây là biometric identifier vĩnh viễn....

Nguồn: Reddit Engineering Tóm tắt (Không thể truy cập nội dung đầy đủ — Reddit Engineering yêu cầu đăng nhập) Bài viết từ Reddit Engineering chia sẻ hành trình chuyển đổi sang mô hình Zero Trust network security. Zero Trust là mô hình bảo mật loại bỏ khái niệm “trusted perimeter” — mọi request đều phải được xác thực, ủy quyền và mã hóa, bất kể xuất phát từ trong hay ngoài mạng nội bộ....

Nguồn: muffin.ink Tóm tắt Bài viết trên muffin.ink phân tích chi tiết lịch sử các lỗ hổng bảo mật liên quan đến SVG trong nền tảng Scratch — môi trường lập trình trực quan phổ biến cho trẻ em. Tác giả lập luận rằng cách tiếp cận của Scratch để xử lý SVG từ người dùng là không an toàn về căn bản, và chứng minh điều này qua nhiều lỗ hổng đã được phát hiện theo thời gian....

Nguồn: Toronto Police Service Tóm tắt Cảnh sát Toronto đã thực hiện vụ bắt giữ chưa có tiền lệ liên quan đến thiết bị SMS Blaster — công cụ được sử dụng để giả mạo trạm phát sóng di động và gửi tin nhắn SMS lừa đảo hàng loạt. Ba người đàn ông đang đối mặt với các cáo buộc hình sự liên quan đến hành vi gian lận và sử dụng thiết bị viễn thông trái phép....

Nguồn: OpenAI Blog Tóm tắt OpenAI thông báo đạt được chứng nhận FedRAMP Moderate Authorization — một cột mốc quan trọng cho phép các cơ quan chính phủ liên bang Mỹ sử dụng dịch vụ OpenAI một cách chính thức và tuân thủ. FedRAMP (Federal Risk and Authorization Management Program) là chương trình tiêu chuẩn hóa đánh giá bảo mật cho các dịch vụ cloud được chính phủ Mỹ sử dụng....

Nguồn: Red Hat Blog Tóm tắt Red Hat Product Security thông báo nâng cấp lớn đối với hệ thống dữ liệu bảo mật — cụ thể là việc cải tổ hoàn toàn các file CSAF (Common Security Advisory Framework) và VEX (Vulnerability Exploit eXchange). Thay đổi này được thúc đẩy bởi phản hồi từ cộng đồng đối tác, nhằm cải thiện khả năng sử dụng và tích hợp dữ liệu bảo mật....

Nguồn: Reddit Engineering Tóm tắt Reddit Engineering chia sẻ hành trình chuyển đổi sang mô hình bảo mật Zero Trust — một phương pháp tiếp cận hiện đại không tin tưởng bất kỳ kết nối nào mặc định, dù từ bên trong hay bên ngoài mạng nội bộ. Bài viết mô tả quá trình chuyển đổi từ kiến trúc bảo mật truyền thống dựa trên vành đai sang mô hình xác minh danh tính và quyền truy cập liên tục....

Nguồn: Hacker News Tóm tắt SentinelLabs đã giải mã bí ẩn tồn tại gần 10 năm: FAST16 là gì? Trong bộ file bị rò rỉ bởi nhóm ShadowBrokers năm 2016 (được cho là đánh cắp từ Equation Group — công cụ tấn công mạng liên quan đến NSA), có một tham chiếu đến compiler tên “FAST16” mà không ai biết. Nay SentinelLabs xác định đây là framework tạo và obfuscate code từ thập niên 1990 của công ty quốc phòng nhỏ Integrity Arts, California....

Nguồn: Hacker News Tóm tắt Anchor Web Services, một công ty hosting website nhỏ, ghi lại sự cố nghiêm trọng: GoDaddy đã transfer domain keystonept.com của khách hàng sang một bên thứ ba không xác định vào ngày 15/1/2025 — mà không có bất kỳ sự đồng ý hay ký xác nhận nào từ chủ sở hữu. Lỗ hổng quy trình của GoDaddy nằm ở chỗ email xác thực transfer được gửi đến địa chỉ trong WHOIS record (contact@keystonept....

Nguồn: GnuPG Announce Tóm tắt GnuPG 2.5.19 được phát hành ngày 24 tháng 4 năm 2026 với điểm nổi bật là tích hợp thuật toán mã hóa post-quantum Kyber (còn gọi là ML-KEM hay FIPS-203). Đây là một bước quan trọng trong quá trình chuẩn bị cho thời đại máy tính lượng tử, khi các thuật toán RSA và ECC truyền thống có nguy cơ bị phá vỡ. Kyber là thuật toán trao đổi khóa được NIST chuẩn hóa như một phần của bộ tiêu chuẩn post-quantum cryptography....

Nguồn: Hacker News Tóm tắt Một thread Hacker News thu hút 341 upvote và 126 bình luận về hiện tượng ứng dụng Headspace tự động cài đặt lại trên iPhone mỗi ngày, dù người dùng đã tắt tính năng automatic downloads. Hiện tượng này được nhiều người báo cáo trên các thiết bị khác nhau (iPhone 12, 13 Pro, 17) và bắt đầu từ cùng một thời điểm. Cộng đồng HN suy đoán nhiều nguyên nhân: iOS có cơ chế “Offload Unused Apps” có thể cài lại app cũ nếu được kích hoạt; hoặc đây là lỗi trong hệ thống App Store subscription / iCloud family sharing....