Vừa qua, các chuyên gia phân tích nguy cơ của VMware đã công bố 34 trình điều khiển kernel (Kernel Driver) dễ bị tin tặc khai thác để sửa đổi firmware và leo thang đặc quyền. 

Trung tuần tháng 4/2020, công ty ứng dụng hội nghị truyền hình Zoom đã công bố kế hoạch cải tiến chương trình trao thưởng cho những phát hiện lỗi của Zoom, như là một phần của kế hoạch dài hạn để cải thiện mức độ bảo mật của dịch vụ này.

Có một vài quan điểm cho rằng, việc kiểm thử phần mềm sử dụng kỹ thuật Fuzzing đã không còn hiệu quả trước sự thay đổi của các công nghệ bảo mật. Dưới đây là lược dịch bài báo, trong đó chia sẻ một số ý kiến của Dmitri Vjukov (chuyên gia phân tích, phát hiện lỗ hổng của Google) về tầm quan trọng của việc Fuzzing tại Hãng công nghệ khổng lồ này.

Lỗ hổng của hệ thống thông tin (HTTT) là khiếm khuyết của các thành phần phần mềm, phần cứng hoặc của toàn bộ hệ thống có thể bị sử dụng để thực hiện các mối đe dọa an toàn thông tin (ATTT) của hệ thống. Bất kỳ HTTT nào cũng đều có những lỗ hổng nhất định, chúng có thể được sinh ra trong mọi giai đoạn thuộc vòng đời của hệ thống. Lỗ hổng phần mềm có thể xuất hiện khi có những sai sót mà lập trình viên phạm phải ở giai đoạn phát triển phần mềm. Trong một số trường hợp, các lỗ hổng được tạo ra một cách cố ý, thường được gọi là các cổng hậu, chúng cho phép truy cập bất hợp pháp vào các chức năng của chương trình hoặc dữ liệu được lưu trữ trong đó. Những kẻ tấn công có thể sử dụng các lỗ hổng để trục lợi và gây hại cho hệ thống. Do đó, phát hiện và khắc phục lỗ hổng kịp thời là nhiệm vụ hết sức quan trọng trong công tác bảo đảm an toàn các HTTT.

Mất an ninh, an toàn cho cổng thông tin điện tử đang là vấn đề nóng không chỉ của Việt Nam mà của toàn thế giới. Thống kê hàng năm về tình trạng mất an toàn thông tin (ATTT) trong các cổng thông tin điện tử đưa ra con số đáng lo ngại, có tới hơn 2.286 website của các cơ quan, doanh nghiệp Việt Nam bị tấn công trong năm 2013. Các website này đang tồn tại rất nhiều lỗ hổng an ninh chưa được khắc phục. Để phát hiện những lỗ hổng này, có rất nhiều kỹ thuật được sử dụng, về cơ bản được chia làm hai loại là kỹ thuật phân tích tĩnh và kỹ thuật phân tích động dựa trên các công cụ dò quét lỗ hổng. Bài báo này giới thiệu một số công cụ dò quét lỗ hổng bảo mật đang được sử dụng trên thị trường, đưa ra những so sánh, đánh giá và đề xuất lựa chọn công cụ tốt nhất để triển khai ứng dụng trong thực tế.