Các cơ quan an ninh mạng của Hoa Kỳ và Na Uy đã cảnh báo, tin tặc đã khai thác lỗ hổng zero-day trong phần mềm quản lý điểm cuối cho thiết bị di động (Mobile Device Management - MDM) của Ivanti mà không bị phát hiện trong ít nhất 3 tháng.
Nửa đầu năm 2023, 34% lỗ hổng bảo mật ảnh hưởng đến các hệ thống điều khiển công nghiệp (Industrial Control System - ICS) không có bản vá hoặc biện pháp khắc phục, ghi nhận mức tăng đáng kể so với 13% của năm trước.
Một chiến dịch lừa đảo tinh vi trên Facebook đã khai thác lỗ hổng zero-day trong các dịch vụ email của Salesforce, cho phép các tác nhân đe dọa sử dụng tên miền và cơ sở hạ tầng của công ty để tạo ra những tin nhắn lừa đảo.
Nhiều lỗ hổng bảo mật đã được tiết lộ trong plugin Ninja Forms (một chương trình phần mềm xây dựng biểu mẫu) dành cho WordPress có thể bị các tác nhân đe dọa khai thác để leo thang đặc quyền và đánh cắp dữ liệu nhạy cảm.
Tập đoàn công nghệ Ivanti cho biết lỗ hổng mới có số hiệu CVE-2023-35081 ảnh hưởng đến phần mềm quản lý thiết bị di động Endpoint Manager Mobile (EPMM) phiên bản 11.10, 11.9 và 11.8 cũng như các phiên bản hiện đang hết hạn sử dụng.
Apple mới tung ra các bản cập nhật bảo mật cho iOS, iPadOS, macOS, tvOS, watchOS và Safari để xử lý một số lỗ hổng bảo mật, bao gồm một lỗ hổng zero-day bị khai thác.
Các nhà nghiên cứu an ninh mạng đã phát hiện ra lỗ hổng leo thang đặc quyền trong Google Cloud có thể cho phép các tác nhân độc hại giả mạo những hình ảnh ứng dụng và lây nhiễm cho người dùng, từ đó gây ra các cuộc tấn công chuỗi cung ứng.
Oracle đã phát hành 508 bản vá bảo mật mới như một phần của Critical Patch Update (CPU - cập nhật bản vá quan trọng) trong tháng 7/2023, bao gồm hơn 70 bản vá giải quyết các lỗ hổng nghiêm trọng.
MikroTik, công ty công nghệ chuyên về bộ định tuyến và hệ thống ISP không dây, đã vá một lỗ hổng bảo mật lớn trong sản phẩm RouterOS của mình sau 5 tháng kể từ khi lỗ hổng này bị khai thác tại sự kiện Pwn2Own Toronto.
Người dùng điện thoại thông minh (smartphone) của Samsung đã được cảnh báo về lỗ hổng có số hiệu CVE-2023-21492, một lỗ hổng bỏ qua ASLR, đã bị một nhà cung cấp phần mềm gián điệp khai thác.