уязвимость

PortSwigger показал рабочий пример атаки. Исследователь из PortSwigger Гарет Хейс представил новый способ красть данные из HTML-атрибутов прямо через inline-CSS, без селекторов и подключения внешних таблиц стилей. Открытие стало возможным благодаря поддержке условных выражений if() в...

Почему «нулевой клик» остаётся самым неприятным сценарием. 20 августа Apple выпустила внеплановое обновление безопасности для всех основных систем — iOS, iPadOS, macOS и других платформ. Патч закрывает уязвимость CVE-2025-43300 в модуле ImageIO: ошибка выхода за границы буфера устраняется...

Хакеру хватило одного токена, чтобы управлять армией Pudu по всему миру. Компания Pudu Robotics, крупнейший в мире производитель коммерческих сервисных роботов, столкнулась с критической проблемой безопасности. Независимый исследователь обнаружил, что почти все API-интерфейсы для управления...

Как недочёт в админке открыл двери для атак. Исследователь обнаружила уязвимости в админ-панели китайской компании Pudu Robotics, крупнейшего поставщика коммерческих сервисных роботов. Проблема позволяла злоумышленникам перенаправлять роботов и отдавать им любые команды. Pudu выпускает...

Две дыры в PARTS SOFT CMS связаны и усиливают опасность атак. Исследователь «Сайбер ОК» выявил две взаимосвязанные уязвимости в системе управления содержимым PARTS SOFT CMS, которые представляют серьёзную угрозу для доступных в интернете сервисов. По данным компании, уязвимой версией ПО...

Связка CVE-2025-55177 и CVE-2025-43300 использовалась против выбранных целей в последние месяцы. WhatsApp закрыл уязвимость в клиентских приложениях для iOS и macOS, которую использовали в адресных атаках нулевого дня . Речь идёт о «нулевом клике» — сценарии, при котором злоумышленнику...

Обновиться или смотреть, как свой VPN работает на чужих. Крупнейшая волна атак на продукты Citrix заставила компании и госструктуры в срочном порядке обновлять инфраструктуру. Специалисты The Shadowserver Foundation обнаружили более 28 000 уязвимых экземпляров NetScaler ADC и NetScaler...

Один эксплойт может обрушить всю инфраструктуру, если проигнорировать обновление NetScaler. NetScaler предупредил администраторов о трёх новых уязвимостях в NetScaler ADC и NetScaler Gateway, одна из которых уже используется в атаках. Обновления доступны, а производитель настоятельно просит...

Миллионы разработчиков считали, что защищены. На деле же их установки — не безопаснее остальных. Новая критическая уязвимость в Docker Desktop ставит под угрозу пользователей Windows. Ошибка, получившая идентификатор CVE-2025-9074 и оценку 9,3 из 10 по шкале CVSS, позволяет атакующим...

Вредоносное ПО устанавливается автоматически, без ведома пользователя. Обновляйтесь скорее! Google выпустила экстренное обновление для Chrome, устраняющее критическую уязвимость CVE-2025-9478 в библиотеке ANGLE. Ошибка типа use-after-free , обнаруженная 11 августа командой Google...

Три критические бреши превратили защищённые платформы в открытые двери. Американское агентство по кибербезопасности и инфраструктурной безопасности (CISA) включило три новые уязвимости в каталог активно эксплуатируемых (KEV). В список попали две ошибки в Citrix Session Recording и одна в...

Новая брешь в Gemini — это наш «нулевой день», но только для изображений. В исследовании специалистов The Trail of Bits раскрыта новая уязвимость в экосистеме Google Gemini и связанных сервисах, которая позволяет скрытно похищать пользовательские данные через изображения, содержащие...

TheTruthSpy выдала всех — и жертв, и своих покупателей. Создатель шпионского ПО TheTruthSpy, вьетнамская компания 1Byte Software под руководством Вана (Варди) Тиу, снова оказалась в центре громкого инцидента. Независимый ИБ-исследователь Сваранг Вейд выявил критическую уязвимость , которая...

Nmap закрывает бреши, которые могли стоить дорого. 21 августа команда проекта Nmap представила новую версию своего знаменитого инструмента — релиз 7.98. Казалось бы, очередное обновление, но оно оказалось особенно важным для пользователей Windows и macOS. В центре внимания — безопасность...

150 установок в сети — и десяток из них уже открыты для атаки. Обнаружена критическая уязвимость в отечественной платформе «Акцент» компании Бинго-софт, которая используется для быстрой разработки бизнес-приложений — от CRM и ERP-систем до решений для автоматизации процессов с...

Почему компания даже не посчитала нужным присвоить багу CVE-идентификатор? В то время как Microsoft активно продвигает свою линейку продуктов Copilot на базе ИИ, обещая сделать работу пользователей удобнее и продуктивнее, в системе M365 был обнаружен тревожный сбой, который подрывает основы...

Intel годами жила на халявном коде, а теперь ей показали, что он не защищает даже данные. Атака на внутренние ресурсы Intel показала, что уязвимости бывают не только в процессорах, но и в корпоративных сайтах компании. Исследователь безопасности обнаружил сразу четыре различных способа...

7100 серверов в 99 странах превратились в «резидентские прокси». Киберпреступники нашли способ извлекать выгоду из уязвимости CVE-2024-36401 в популярной геопространственной платформе GeoServer., которая позволяет удалённо выполнять произвольный код. С начала марта 2025 года злоумышленники...

Теперь хакинг — легальный бизнес за миллионы. Новый игрок из Объединённых Арабских Эмиратов внёс резонанс в закрытый рынок уязвимостей. Компания Advanced Security Solutions, стартовавшая в августе, заявила о готовности платить до 20 миллионов долларов за инструменты взлома смартфонов. Речь...

После того, как 400 организаций были пробиты через SharePoint, Microsoft больше не делится кодом с Китаем. Microsoft ограничила для китайских компаний доступ к ранним уведомлениям о найденных уязвимостях в своих продуктах. Решение принято после того, как корпорация провела внутреннее...

Вы смотрите фото, а в это время iPhone уже взломан. Apple выпустила обновления безопасности для iOS, iPadOS и macOS, закрывающие новую уязвимость нулевого дня (Zero-Day), которая уже используется в реальных атаках. Брешь получила идентификатор CVE-2025-43300 и затрагивает фреймворк...

Исследование показало неожиданные лазейки в «песочнице» Chrome. Вышла книга « From Day Zero to Zero Day » издательства No Starch Press, посвящённая основам исследования уязвимостей. Автор представил её на DEF CON 33 и конференции Crypto & Privacy Village, где рассказал о проблемах в...

Когда UI пуст, а ИИ слышит команды. Специалисты показали , что последние модели Gemini устойчиво принимают скрытые Unicode Tag символы за инструкции — невидимый в интерфейсе текст становится командами для ИИ. Под удар попадают все интеграции на базе Gemini, включая новый агент кодирования...

Microsoft исправила утечку хэшей через иконки — и открыла её через исполняемые файлы Исследователи из Cymulate Research Labs сообщили о новой уязвимости в Windows, которая позволяет обойти недавний патч Microsoft и вновь привести к утечке NTLM-хэшей без каких-либо действий со стороны...

В системе очередной баг. Без CVE и подробностей… Компания Plex предупредила часть пользователей о необходимости срочно обновить свои медиа-серверы из-за уязвимости, информация о которой пока практически не раскрывается. Речь идёт о дефекте, исправленном в последних релизах, но ещё не...