zero-day

Microsoft vừa cảnh báo về một lỗ hổng zero-day trên Exchange Server đang bị khai thác trong thực tế. Lỗ hổng mang mã CVE-2026-42897 cho phép tin tặc thực thi mã JavaScript trong phiên làm việc của người dùng thông qua một email được tạo đặc biệt, mở ra nguy cơ đánh cắp thông tin xác thực và...

Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) vừa phát đi cảnh báo khẩn cấp về lỗ hổng zero-day CVE-2026-11645 trong Chromium, nền tảng trình duyệt được sử dụng bởi Google Chrome, Microsoft Edge, Opera và nhiều sản phẩm khác. Lỗ hổng hiện đã bị khai thác ngoài thực tế, làm dấy lên...

Microsoft vừa phát hành đợt cập nhật bảo mật Patch Tuesday tháng 6/2026, khắc phục tổng cộng 198 lỗ hổng ảnh hưởng đến nhiều sản phẩm trong hệ sinh thái Windows, Office, Azure và các dịch vụ doanh nghiệp. Đáng chú ý, bản vá lần này xử lý ba lỗ hổng zero-day đã bị khai thác hoặc bị tiết lộ công...

Các nhà nghiên cứu an ninh mạng vừa phát hiện 5 lỗ hổng zero-day trong OpenClaw, nền tảng mã nguồn mở được sử dụng để kết nối các AI agent với những dịch vụ nhắn tin phổ biến như Slack, Discord, Microsoft Teams, Matrix và Zalo. Các lỗ hổng này có thể cho phép kẻ tấn công vượt qua cơ chế kiểm...

Ngay sau khi lỗ hổng BlueHammer được xử lý, Microsoft lại tiếp tục đối mặt với một thách thức bảo mật mới mang tên RedSun. Lỗ hổng zero-day này vừa được nhà nghiên cứu Chaotic Eclipse công bố kèm theo mã khai thác mẫu (PoC), cho thấy khả năng leo thang đặc quyền lên mức SYSTEM trên các hệ thống...

Lỗ hổng zero-day đặc biệt nguy hiểm trong Adobe Reader đang khiến cộng đồng an ninh mạng toàn cầu đặt trong trạng thái cảnh giác cao độ. Không cần thao tác phức tạp, chỉ với việc mở một file PDF được thiết kế tinh vi, người dùng có thể vô tình kích hoạt chuỗi tấn công dẫn đến đánh cắp dữ liệu và...

Hãng bảo mật Fortinet đã phát đi cảnh báo khẩn cấp về một lỗ hổng trong hệ thống quản lý thiết bị đầu cuối FortiClient EMS, khi lỗ hổng này đã bị tin tặc khai thác ngoài thực tế dưới dạng zero-day. Với khả năng cho phép kẻ tấn công từ xa chiếm quyền hệ thống mà không cần xác thực, đây được đánh...

Cisco vừa phát đi cảnh báo khẩn về một lỗ hổng bảo mật nghiêm trọng trong nền tảng Cisco Catalyst SD-WAN, cho phép kẻ tấn công vượt qua lớp xác thực để chiếm quyền điều khiển hệ thống quản trị mạng. Đáng lo ngại, điểm yếu này đã bị khai thác dưới dạng zero-day từ ít nhất năm 2023, mở đường cho...

Một file Word tưởng như vô hại có thể âm thầm vượt qua toàn bộ lớp cảnh báo bảo mật quen thuộc của Office. Không cần bật macro, không cần nhấn “Enable Content”, nạn nhân chỉ cần mở tài liệu là đủ để kích hoạt chuỗi khai thác. Đó là kịch bản đang diễn ra với CVE-2026-21514, lỗ hổng zero-day vừa...

Một lỗ hổng zero-day có mức độ nghiêm trọng cao vừa được công bố trong Gemini MCP Tool, một công cụ được sử dụng để quản lý và điều phối các tương tác trong hệ sinh thái Gemini. Lỗ hổng này cho phép kẻ tấn công từ xa thực thi mã tùy ý trên hệ thống mục tiêu mà không cần xác thực hay tương tác từ...

Microsoft vừa phát hành bản vá bảo mật ngoài chu kỳ (out-of-band) để khắc phục một lỗ hổng zero-day nghiêm trọng trong Microsoft Office, hiện đã bị tin tặc khai thác trong các cuộc tấn công thực tế. Lỗ hổng được theo dõi với mã CVE-2026-21509, có điểm CVSS 7,8 và được phân loại là lỗi bypass cơ...

Huntress vừa phát cảnh báo về một lỗ hổng nghiêm trọng trong hai sản phẩm CentreStack và Triofox của Gladinet. Điểm yếu này đang bị tin tặc khai thác ngoài thực tế, xuất phát từ việc phần mềm sử dụng khóa mã hóa được ghi cứng trong mã. Sự cố đã ảnh hưởng đến ít nhất chín tổ chức thuộc nhiều lĩnh...

Microsoft vừa phát hành bản vá bảo mật tháng 11/2025 (Patch Tuesday), khắc phục 63 lỗ hổng trong các sản phẩm Windows và phần mềm liên quan, trong đó có một lỗ hổng nghiêm trọng đang bị tin tặc khai thác tích cực. Đây là một trong những đợt cập nhật đáng chú ý nhất năm, khi nhiều lỗ hổng có thể...

Salt Typhoon, nhóm APT tấn công toàn cầu vừa triển khai một chiến dịch cực kỳ tinh vi khi khai thác lỗ hổng trên các thiết bị biên như Citrix, Ivanti, Fortinet và Cisco để xâm nhập hạ tầng mục tiêu. Sau đó ẩn mã độc dưới vỏ bọc phần mềm hợp pháp, chạy kèm tiến trình của các phần mềm bảo mật...

Microsoft vừa phát hành bản cập nhật bảo mật định kỳ Patch Tuesday tháng 10 với 172 lỗ hổng bảo mật được vá, bao gồm 6 lỗ hổng zero-day đang bị tin tặc khai thác tích cực. Đây cũng là cột mốc đặc biệt khi Windows 10 chính thức kết thúc vòng đời hỗ trợ miễn phí, khiến bản vá này trở thành “tấm...

Apple vừa phát hành loạt bản cập nhật bảo mật quan trọng để xử lý một lỗ hổng nguy hiểm đã bị khai thác trong thực tế (zero-day), ảnh hưởng đến các thiết bị iOS, iPadOS và macOS, kể cả những thiết bị đời cũ. Lỗ hổng có mã CVE-2025-43300, được đánh giá điểm CVSS 8,8, liên quan đến thành phần...

Ngày 9/9/2025, Microsoft chính thức phát hành loạt bản vá trong đợt Patch Tuesday tháng 9, xử lý tổng cộng 81 lỗ hổng bảo mật. Trong đó, hai lỗ hổng zero-day đã được khai công khai trước khi có bản vá, tạo áp lực cấp bách đối với các quản trị viên hệ thống phải cập nhật ngay lập tức. Tổng số...

Nhiều hệ thống tổng đài doanh nghiệp đang bị tin tặc chiếm quyền điều khiển, khai thác trái phép do một lỗ hổng chưa được vá (zero-day) trong phần mềm FreePBX. FreePBX là một nền tảng tổng đài điện thoại mã nguồn mở rất phổ biến, được xây dựng trên nền Asterisk. Nó thường được dùng bởi doanh...

Một lỗ hổng zero-day nghiêm trọng vừa được phát hiện trong thành phần Visual Composer Metadata Uploader của SAP NetWeaver, cho phép tin tặc tải tệp trái phép trực tiếp lên máy chủ SAP, từ đó chiếm quyền thực thi mã từ xa dưới các tài khoản dịch vụ đặc quyền cao, tạo ra nguy cơ gián đoạn và tổn...

Một lỗ hổng zero-day nghiêm trọng trong giải pháp Elastic Endpoint Detection and Response (EDR) vừa được công bố, đặt ra thách thức lớn cho các doanh nghiệp vốn đang phụ thuộc vào Elastic để bảo vệ hạ tầng. Nghiên cứu từ Ashes Cybersecurity cho thấy điểm yếu tồn tại trong tệp...