уязвимости

Одна уязвимость — и ваш умный дом уже не ваш. Интернет- колонки Sonos Era 300 оказались уязвимыми к атакам, позволяющим злоумышленнику запускать произвольный код на устройстве, не проходя авторизацию. Уязвимость получила оценку 8.8 из 10 по шкале CVSS — это весьма серьёзный показатель...

Проверка на устойчивость закончилась падением на ровном месте. MediaTek опубликовала свежий бюллетень безопасности , в котором раскрыла серию уязвимостей, затрагивающих широкий спектр её чипсетов. Проблемы касаются смартфонов, планшетов, устройств AIoT, телевизоров, систем компьютерного...

Итоги трёх лет Standoff Bug Bounty. Платформа Standoff Bug Bounty подвела итоги своей работы на международном киберфестивале Positive Hack Days. За три года — с мая 2022 по май 2025 года — на платформе зарегистрировались почти 25 тысяч исследователей кибербезопасности из 60 стран мира. Общая...

Индекс F6: когда 10 баллов — редкость, а 0,2 — вполне реальность. Компания F6 опубликовала «Отраслевой Индекс кибербезопасности» — исследование уровня защищённости российских компаний в семи ключевых отраслях экономики. В выборку вошли 1000 организаций из сфер топливно-энергетического...

Пока вы работали в Excel, кто-то уже получил права администратора на вашем ПК. Агентство по кибербезопасности и защите инфраструктуры США (CISA) расширило свой каталог активно эксплуатируемых уязвимостей (KEV), добавив туда сразу пять новых Zero-day уязвимостей в Windows. Все они уже...

Новая база уязвимостей — запасной парашют для всей кибербезопасности. 13 мая Европейское агентство по кибербезопасности (ENISA) представило собственную базу уязвимостей EUVD (European Union Vulnerability Database). Специалисты агентства будут не только поддерживать работу платформы, но и...

Звонки шли, журналы стирались, команды выполнялись — теперь патч должен потушить пожар. Компания Fortinet выпустила срочное обновление для устранения критической уязвимости в корпоративных телефонных системах FortiVoice. Специалисты подтвердили, что злоумышленники уже воспользовались этой...

Не успели подписаться на рассылку? Пеняйте на себя. Агентство кибербезопасности и защиты инфраструктуры США (CISA) меняет систему оповещения о цифровых угрозах. Теперь для распространения предупреждений и рекомендаций ведомство будет использовать преимущественно социальные сети и электронную...

20 компаний из Fortune 500 уже пали. Остальные просто ещё не проверяли логи. Исследователи из лаборатории Vedere Labs компании Forescout обнаружили связь между масштабной кибератакой на системы SAP NetWeaver и хакерской группировкой из Китая. Обнаруженная брешь в программном обеспечении...

Attack Vector Controls может изменить саму суть работы с уязвимостями. Инженер AMD продолжает работу над улучшением безопасности процессоров Linux, предлагая новую систему управления защитами под названием Attack Vector Controls . Её цель — упростить настройку защит от уязвимостей...

Теперь злоумышленникам не нужен пароль — достаточно одного скрытого запроса. В условиях стремительного развития технологий искусственного интеллекта специалисты всё чаще обращают внимание на слабые места новых протоколов взаимодействия. Один из таких случаев связан с Model Context Protocol (...

Новый отчёт компании об угрозах, которые не давали ИБшникам покоя последний год. Команда Google Threat Intelligence Group (GTIG) обнаружила масштабную эксплуатацию критических брешей в программном обеспечении. За минувший год киберпреступники использовали 75 ранее неизвестных производителям...

Ivanti, Cisco и PAN — хакеры обошли тех, кто должен был защищать. Количество уязвимостей нулевого дня, которые активно использовались злоумышленниками в 2024 году, составило 75 — этот показатель ниже, чем в 2023 году, когда было зафиксировано 98 случаев, но заметно выше значений 2022 года...

ФБР тихо злорадствует в сторонке. Попытка возродить печально известную хакерскую площадку BreachForums потерпела неудачу из-за уязвимости нулевого дня в PHP. Об этом сообщил новый администратор ресурса, отметив, что взлом стал возможен из-за устаревшего и необновленного программного...

Внутренние цепочки доверия превращаются в тропы для незаметного перемещения хакеров. Федеральное агентство по кибербезопасности США (CISA) включило в реестр активно эксплуатируемых уязвимостей две новые критические ошибки, затрагивающие инфраструктуру хранения данных Broadcom Brocade Fabric...

Как из одного запроса сделать дыру в защите ИИ. Одна из ключевых тем безопасности в области ИИ снова оказалась в центре внимания после выявления двух системных методов обхода защитных механизмов в популярных генеративных сервисах. Новые уязвимости, получившие названия «Inception» и...

Апдейты спасают… но не всегда. Группа реагирования на инциденты CSIRT компании Orange Cyberdefense обнаружила масштабную серию вторжений в серверы, работающие на базе Craft CMS — популярной системы управления контентом для создания и администрирования веб-сайтов. Расследуя компрометацию одной...

Как запросы путешествовали через Великую стену без паспорта. Управление по защите персональных данных Южной Кореи обнаружило серьезные нарушения в работе китайского стартапа DeepSeek. По данным регулятора, компания передавала пользовательскую информацию и текстовые запросы третьим лицам без...

28% уязвимостей используются в первые сутки. Успевают ли сисадмины обновить софт? За первый квартал 2025 года в киберпространстве были зафиксированы атаки, использующие 159 уникальных уязвимостей с присвоенными CVE-идентификаторами. Это немного больше по сравнению с концом прошлого года...

54% компаний не обладают полной картиной своих активов. Специалисты компании Positive Technologies выяснили , как организации из ключевых отраслей экономики выстраивают процессы управления цифровыми активами. Согласно результатам исследования, 54% респондентов не знают обо всех устройствах...

Поддержка пришла оттуда, откуда никто не ждал. Программа CVE, служащая основным мировым механизмом учёта и идентификации уязвимостей в программном обеспечении, неожиданно оказалась на грани приостановки . Однако за день до окончания контракта правительство США всё же одобрило его продление...

Что аналитики нашли в коде популярного ИИ-помощника? Аналитики обнаружили серьезные недочёты в приложении Perplexity AI, которые позволяют похищать пароли и персональные сведения людей по всему миру. В 2025 году искусственный интеллект не просто заменяет поисковые системы, списки покупок и...

Отчет Cyble: чем критичнее инфраструктура, тем больше в ней дыр? 70 уязвимостей в промышленных системах управления обнаружила компания Cyble при анализе последних предупреждений от американского Агентства кибербезопасности. Среди проблем, выявленных в 16 свежих отчётах CISA, 6 признаны...

Microsoft, Kubernetes и VMware синхронно дают сбой. Эксперты Positive Technologies отнесли к числу трендовых ещё одиннадцать уязвимостей, затрагивающих ключевые элементы цифровой инфраструктуры. В список вошли продукты Microsoft, гипервизоры VMware, контроллер Kubernetes и веб-сервер Apache...

О принудительной регистрации можно забыть… пока дыру не залатают. Пользователи нашли новый способ установить Windows 11 без привязки к онлайн-аккаунту Microsoft. Этот метод работает даже в самых свежих сборках, несмотря на недавние попытки корпорации закрыть все обходные пути (совсем недавно...