уязвимость

Пока вы читаете этот заголовок, они шарятся в ваших файлах через символические ссылки. Исследователи обнаружили очередную масштабную атаку на корпоративные VPN-устройства FortiGate, используемые компаниями для защищённого удалённого доступа к своим сетям. Хакеры применили хитроумную технику...

Почему код, написанный ИИ, требует проверки человеком. Эра инструментов для генерации кода на основе ИИ не только облегчила жизнь программистам, но и создала новые угрозы для безопасности ПО. Проблема заключается в «галлюцинациях» искусственного интеллекта — способности ИИ-ассистентов...

Исследователи обнаружили пугающе простой способ перехвата сетевого оборудования. Серьёзная уязвимость в устаревших сетевых устройствах Calix позволяет выполнить удалённый код с правами root без необходимости авторизации. Проблема затрагивает устройства, больше не поддерживаемые...

Пустая строка вместо ключа авторизации открывает полный доступ к веб-ресурсам. Хакеры начали массово эксплуатировать критическую уязвимость в популярном плагине OttoKit (ранее SureTriggers ) для WordPress всего через несколько часов после её публичного раскрытия. Уязвимость позволяет...

Как хакеры продолжили обходить защиту даже после официального исправления? В сентябре 2024 года компания NVIDIA выпустила обновление для устранения критической уязвимости CVE-2024-0132 в своём инструменте Container Toolkit. Проблема заключалась в расхождении между моментом проверки и...

BIOS-патчи только начинают выходить, а ядро уже блокирует вредоносный микрокод. Недавно исследователи Google раскрыли уязвимость в проверке подписи микрокода процессоров AMD, получившую название EntrySign. Она позволяет пользователям с локальными правами администратора загружать вредоносные...

Топ уязвимостей за март просто удивляет. Март 2025 года ознаменовался новой вспышкой активности киберпреступников, сосредоточенной сразу в двух направлениях — массовое сканирование устаревших уязвимостей в популярных веб-приложениях и новая атака на инфраструктуру AWS через технику SSRF...

Уязвимость в микрокоде AMD позволяет загружать произвольные инструкции. Команда безопасности Google обнаружила уязвимость в микрокоде процессоров AMD, получившую название EntrySign (ID: AMD-SB-7033). Проблема затрагивает весь спектр процессоров на архитектуре Zen — от Zen 1 до новейшего...

Атаки идут на компании из США, Венесуэлы, Испании и Саудовской Аравии. Microsoft сообщила, что группировка-вымогатель RansomEXX активно эксплуатирует критическую уязвимость нулевого дня в системе Common Log File System (CLFS) в Windows, позволяющую получить привилегии SYSTEM на атакуемых...

Уязвимость позволяла запускать код через безобидное на вид вложение. Meta* предупредила пользователей Windows о необходимости срочно обновить WhatsApp до последней версии, чтобы устранить уязвимость , позволяющую злоумышленникам запускать вредоносный код на устройствах. Уязвимость...

Ни один элемент не вызывал подозрений, но в связке они обошли все уровни защиты. APT -группировка ToddyCat вновь напомнила о себе, применив необычный подход к сокрытию вредоносной активности. В ходе расследования инцидентов, произошедших в 2024 году, исследователи «Лаборатории Касперского»...

Исправления закрывают эксплойты, использовавшиеся сербской полицией через инструменты Cellebrite. Google выпустила апрельское обновление безопасности Android, закрыв сразу 62 уязвимости, включая две нулевого дня, активно использовавшиеся в целевых атаках. Одной из них стала уязвимость с...

Как взаимосвязь компонентов Cloud Run превратила незначительную ошибку в критическую угрозу. Исследователи в области кибербезопасности сообщили о ликвидированной уязвимости в Google Cloud Platform (GCP), которая затрагивала сервис Cloud Run. Проблема позволяла злоумышленнику получить доступ к...

Ivanti экстренно закрывает брешь в защите. Ivanti выпустила обновления безопасности для устранения критической уязвимости удалённого выполнения кода (RCE) в сетевых шлюзах Connect Secure. Ошибка CVE-2025-22457 (оценка CVSS: 9.0) уже использовалась в кибер шпионаже как минимум с...

WinRAR позволял запускать код без защиты Windows. В архиваторе WinRAR обнаружена уязвимость , позволяющая обойти механизм безопасности Windows «Mark of the Web» (MotW), что могло привести к выполнению вредоносного кода. Об этом сообщил координационный центр JPCERT/CC после анализа...

Две старые уязвимости вернулись — и с ними удалённый доступ. Исследователи из SafeBreach обнаружили критические уязвимости в функции быстрой передачи файлов Google Quick Share, которые позволяют злоумышленникам удалённо выполнять вредоносный код на компьютерах с Windows — причём без ведома...

Когда простой офисный принтер превращается в потайную дверь для хакеров. Исследователи из команды Microsoft MORSE, занимающейся наступательной безопасностью, сообщили Canon о критической уязвимости , обнаруженной в драйверах для принтеров. Под угрозой оказались устройства, используемые как...

Злоумышленники обходят системы защиты через секретный механизм CMS. Специалисты по безопасности из компании Sucuri зафиксировали новую схему атак , при которой злоумышленники используют особую директорию WordPress — «mu-plugins» — для сокрытия вредоносного кода. Эта папка предназначена для...

Когда хакеры воюют не только с жертвами, но и друг с другом. Американское агентство CISA опубликовало новые технические детали вредоносного ПО под названием RESURGE, которое применяется при эксплуатации уязвимости CVE-2025-0282 в устройствах Ivanti Connect Secure. Уязвимость, уже...

АНБ объясняет, как одно касание экрана превращает ваш мессенджер в шпионское радио. <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">Безопасные мессенджеры вроде Signal, WhatsApp и Telegram кажутся надёжным способом защитить личные разговоры, особенно...

Positive Technologies представила новую версию сканера защищенности кода веб-приложений. Positive Technologies представила обновлённую версию сканера защищённости кода веб-приложений PT Application Inspector 4.10. В ней обновлён модуль анализа сторонних компонентов (SCA), основанный на...

ИИ учится защищать самого себя. OpenAI усиливает защиту своих продуктов и инфраструктуры, расширяя программу Bug Bounty и другие инициативы в сфере кибербезопасности. На фоне роста числа продвинутых ИИ-агентов и усилий по их интеграции в повседневные цифровые процессы компания делает...

«Форумный тролль»: Лаборатории Касперского нашла опасный эксплойт. В марте 2025 года специалисты «Лаборатории Касперского» зафиксировали целевую атаку с применением ранее неизвестного сложного вредоносного ПО. Распространение происходило через тщательно подготовленные фишинговые письма...

Хакеры нашли золотой ключ к сетям компаний Fortune 500. Специалисты Wiz выявили уязвимости в компоненте admission controller у популярного контроллера входящего трафика Ingress-Nginx для Kubernetes. Ошибки позволяют злоумышленнику удалённо выполнить произвольный код и получить полный контроль...

В Next.js обнаружена уязвимость, открывающая доступ к защищённым ресурсам. В приложениях на базе Next.js обнаружена критическая уязвимость , позволяющая обойти проверку авторизации. Проблема затрагивает версии с 11.1.4 по 13.5.6, а также ранние релизы веток 14.x и 15.x. Уязвимость...