Tin tặc đã tạo ra các chế độ game độc hại của trò chơi Dota 2 (MOBA), từ đó khai thác để chiếm quyền truy cập vào hệ thống của người chơi.  

Mã khai thác cho lỗ hổng 0-day ảnh hưởng đến bảng điều khiển quản trị GoAnywhere MFT có kết nối với Internet đã được phát hành. Hiện vẫn chưa có bản vá cho lỗ hổng này, tuy nhiên nhà phát triển Fortra của GoAnywhere đã đưa ra các biện pháp giảm thiểu cho lỗ hổng.  

Chrome 110 vá 15 lỗ hổng, trong đó có 3 lỗ hổng được đánh giá là có mức độ nghiêm trọng cao, 5 lỗ hổng có mức độ nghiêm trọng trung bình. Người dùng Chrome được khuyến nghị cập nhật trình duyệt lên phiên bản mới nhất để đảm bảo an toàn.  

Một lỗ hổng nghiêm trọng được phát hiện trong thư viện nguồn mở Dompdf PHP, khai thác thành công lỗ hổng có thể dẫn đến thực thi mã từ xa. Lỗ hổng có mã định danh CVE-2023-23924 (điểm CVSS: 10), ảnh hưởng đến tất cả các phiên bản của thư viện, bao gồm cả phiên bản 2.0.1 trở xuống và đã được xử lý trong phiên bản 2.0.2. 

Việc chiếm được các chứng chỉ có thể cho phép tin tặc ký các ứng dụng bị nhiễm trojan bằng các chứng chỉ này và coi chúng là có nguồn gốc từ GitHub. Các phiên bản của GitHub Desktop dành cho Mac đã bị vô hiệu hóa gồm: 3.0.2, 3.0.3, 3.0.4, 3.0.5, 3.0.6, 3.0.7, 3.0.8, 3.1.0, 3.1.1 và 3.1 .2.

Đáng chú ý, dữ liệu SIM bị lộ đã cho phép tin tặc thực hiện các cuộc tấn công hoán đổi SIM đối với một số khách hàng Google Fi. Nhờ có được số điện thoại, tên khách hàng, số seri thẻ SIM, tin tặc đã mạo danh khách hàng và yêu cầu nhà cung cấp dịch vụ di động thực hiện hoán đổi SIM. 

Đây không phải là lần đầu tiên các lỗ hổng được phát hiện trong ImageMagick. Trước đó, lỗi ImageTragick đã bị khai thác để thực thi mã từ xa khi xử lý hình ảnh do người dùng gửi. Một lỗ hổng chèn shell khác cũng đã được phát hiện trong ImageMagick, cho phép tin tặc chèn các lệnh tùy ý khi chuyển đổi tệp PDF được mã hóa thành hình ảnh thông qua tham số dòng lệnh “-authenticate”. 

Khoảng 30.000 thiết bị lưu trữ mạng NAS có khả năng bị ảnh hưởng bởi lỗ hổng chèn mã nghiêm trọng có thể dẫn đến thực hiện các truy vấn tùy ý.  Lỗ hổng được theo dõi là CVE-2022-27596 (điểm CVSS 9,8), là lỗi SQL injection cho phép kẻ tấn công từ xa đưa mã [...]