CISA cho biết đã bổ sung hai lỗ hổng đang bị khai thác thực tế vào Danh mục các lỗ hổng đã biết bị khai thác (Known Exploited Vulnerabilities Catalog).

Lỗ hổng thứ nhất, CVE-2018-4063, là một lỗ hổng cũ ảnh hưởng tới một thiết bị thậm chí còn cũ hơn: bộ định tuyến không dây Sierra Wireless AirLink ES450, cụ thể là phiên bản firmware 4.9.3. Thiết bị này thường được sử dụng để kết nối các máy thanh toán (POS), đã ngừng hỗ trợ từ tháng 8/2021, còn lỗ hổng được công bố lần đầu vào năm 2019.

Theo mô tả trong hồ sơ CVE (mã định danh quốc tế dùng để nhận diện và theo dõi từng lỗ hổng bảo mật cụ thể trên các hệ thống công nghệ thông tin), lỗ hổng này có thể cho phép thực thi mã từ xa thông qua một yêu cầu HTTP được thiết kế riêng nhằm khai thác lỗ hổng bảo mật. Lỗi bảo mật này được công ty an ninh mạng Talos phát hiện vào cuối năm 2018.

Trong khi đó, lỗ hổng thứ hai, CVE-2025-14174, mới chỉ được cấp mã CVE vào ngày 12/12/2025 nhưng đã bị khai thác trên thực tế. Đây là lỗ hổng truy cập bộ nhớ ngoài phạm vi (out-of-bounds) trong trình duyệt Google Chrome trên macOS, ảnh hưởng tới các phiên bản trước 143.0.7499.110.

Lỗ hổng này có thể cho phép kẻ tấn công từ xa thực hiện truy cập bộ nhớ ngoài phạm vi thông qua một trang HTML được thiết kế đặc biệt. Vấn đề đã được khắc phục trong bản cập nhật kênh ổn định mới nhất dành cho máy tính để bàn. Lỗ hổng được Apple Security Engineering and Architecture (SEAR) và Nhóm Phân tích Mối đe dọa của Google (Google Threat Analysis Group) báo cáo lần đầu vào ngày 5/12.

Lệ Thanh (theo Cyber Daily)