Nguồn: calpaterson.com Tóm tắt Bài viết của Cal Paterson phản biện “dependency cooldown” — thực hành đang trở nên phổ biến trong cộng đồng bảo mật phần mềm, theo đó các project chờ N ngày sau khi một package mới được release trước khi cập nhật, nhằm tránh supply chain attacks. Lý luận là: nếu có package độc hại, những người khác (không dùng cooldown) sẽ bị tấn công trước, package sẽ bị “yank”, và người dùng cooldown sẽ an toàn....
Nguồn: GitHub — openssl/openssl Tóm tắt OpenSSL 4.0.0 được phát hành như một feature release quan trọng với nhiều thay đổi breaking, xóa bỏ các tính năng lỗi thời và bổ sung hỗ trợ cho các tiêu chuẩn mật mã hiện đại. Đây là bản nâng cấp major version đầu tiên kể từ OpenSSL 3.x, đánh dấu sự dọn dẹp toàn diện codebase sau nhiều năm tích lũy legacy code....
Nguồn: N-Day-Bench Tóm tắt N-Day-Bench là một benchmark mới đánh giá khả năng của LLMs trong việc phát hiện các vulnerability đã biết (N-day vulnerabilities) trong các codebase thực tế. Khác với các benchmark học thuật sử dụng synthetic examples, N-Day-Bench sử dụng các CVEs thực từ các open-source projects phổ biến. Benchmark được thiết kế để đo lường xem LLMs có thể reproduce quá trình phân tích security của một human researcher hay không — bao gồm việc đọc code, hiểu context, và xác định chính xác vị trí cũng như bản chất của lỗ hổng....
Nguồn: Anchor.host Tóm tắt Một supply chain attack quy mô lớn đã được phát hiện trên WordPress ecosystem: một tác nhân xấu đã mua lại 30 WordPress plugins hợp lệ từ các developers ban đầu, sau đó inject backdoor code vào tất cả chúng trước khi publish updates. Các plugins này đã có user base sẵn có, nên backdoor nhanh chóng được distribute đến hàng nghìn websites. Attack vector này đặc biệt nguy hiểm vì nó bypass các trust mechanisms thông thường: plugins đến từ các tài khoản developer có lịch sử tốt, vượt qua basic code review, và được install như “legitimate updates” bởi site owners....
Nguồn: Anchor.host Tóm tắt Một sự cố bảo mật nghiêm trọng được ghi nhận: một tác nhân ẩn danh đã mua lại quyền sở hữu khoảng 30 WordPress plugin hợp pháp từ các tác giả gốc, sau đó cài backdoor vào toàn bộ và phát tán qua cơ chế update thông thường. Vì các plugin này đã có uy tín và lượng cài đặt lớn, người dùng không có lý do để nghi ngờ khi nhận update....
Nguồn: Terence Eden’s Blog Tóm tắt Android đã triển khai một tính năng bảo vệ quyền riêng tư mới: khi người dùng chia sẻ ảnh có nhúng dữ liệu GPS, hệ thống sẽ hiển thị cảnh báo và cung cấp tùy chọn xóa thông tin vị trí trước khi chia sẻ. Giao diện hộp thoại hiển thị bản đồ với ghim vị trí cùng địa chỉ chi tiết, kèm hai lựa chọn: “Chia sẻ kèm vị trí” hoặc “Xóa vị trí”....
Nguồn: Cloudflare Engineering Tóm tắt Cloudflare Workers sử dụng kiến trúc sandbox dựa trên V8 isolates để cách ly mã thực thi của các khách hàng khác nhau trên cùng một máy chủ vật lý. Bài viết này mô tả chi tiết các biện pháp bảo mật bổ sung được triển khai để tăng cường độ an toàn của môi trường thực thi, vượt ra ngoài những gì V8 cung cấp mặc định....
Nguồn: Cloudflare Engineering Tóm tắt Cloudflare đã tiến hành thiết kế lại toàn diện giao diện người dùng (UI) của Turnstile và các trang Challenge — những giao diện được ước tính là xuất hiện nhiều nhất trên Internet, với hàng tỷ lượt hiển thị mỗi ngày. Đây là lần cải tiến đáng kể nhất kể từ khi Cloudflare ra mắt hệ thống xác thực CAPTCHA thay thế, nhằm mang lại trải nghiệm người dùng tốt hơn trong khi vẫn duy trì hiệu quả bảo mật cao trong việc phân biệt người dùng thật với bot....