уязвимость

Три критические бреши превратили защищённые платформы в открытые двери. Американское агентство по кибербезопасности и инфраструктурной безопасности (CISA) включило три новые уязвимости в каталог активно эксплуатируемых (KEV). В список попали две ошибки в Citrix Session Recording и одна в...

Новая брешь в Gemini — это наш «нулевой день», но только для изображений. В исследовании специалистов The Trail of Bits раскрыта новая уязвимость в экосистеме Google Gemini и связанных сервисах, которая позволяет скрытно похищать пользовательские данные через изображения, содержащие...

TheTruthSpy выдала всех — и жертв, и своих покупателей. Создатель шпионского ПО TheTruthSpy, вьетнамская компания 1Byte Software под руководством Вана (Варди) Тиу, снова оказалась в центре громкого инцидента. Независимый ИБ-исследователь Сваранг Вейд выявил критическую уязвимость , которая...

Nmap закрывает бреши, которые могли стоить дорого. 21 августа команда проекта Nmap представила новую версию своего знаменитого инструмента — релиз 7.98. Казалось бы, очередное обновление, но оно оказалось особенно важным для пользователей Windows и macOS. В центре внимания — безопасность...

150 установок в сети — и десяток из них уже открыты для атаки. Обнаружена критическая уязвимость в отечественной платформе «Акцент» компании Бинго-софт, которая используется для быстрой разработки бизнес-приложений — от CRM и ERP-систем до решений для автоматизации процессов с...

Почему компания даже не посчитала нужным присвоить багу CVE-идентификатор? В то время как Microsoft активно продвигает свою линейку продуктов Copilot на базе ИИ, обещая сделать работу пользователей удобнее и продуктивнее, в системе M365 был обнаружен тревожный сбой, который подрывает основы...

Intel годами жила на халявном коде, а теперь ей показали, что он не защищает даже данные. Атака на внутренние ресурсы Intel показала, что уязвимости бывают не только в процессорах, но и в корпоративных сайтах компании. Исследователь безопасности обнаружил сразу четыре различных способа...

7100 серверов в 99 странах превратились в «резидентские прокси». Киберпреступники нашли способ извлекать выгоду из уязвимости CVE-2024-36401 в популярной геопространственной платформе GeoServer., которая позволяет удалённо выполнять произвольный код. С начала марта 2025 года злоумышленники...

Теперь хакинг — легальный бизнес за миллионы. Новый игрок из Объединённых Арабских Эмиратов внёс резонанс в закрытый рынок уязвимостей. Компания Advanced Security Solutions, стартовавшая в августе, заявила о готовности платить до 20 миллионов долларов за инструменты взлома смартфонов. Речь...

После того, как 400 организаций были пробиты через SharePoint, Microsoft больше не делится кодом с Китаем. Microsoft ограничила для китайских компаний доступ к ранним уведомлениям о найденных уязвимостях в своих продуктах. Решение принято после того, как корпорация провела внутреннее...

Вы смотрите фото, а в это время iPhone уже взломан. Apple выпустила обновления безопасности для iOS, iPadOS и macOS, закрывающие новую уязвимость нулевого дня (Zero-Day), которая уже используется в реальных атаках. Брешь получила идентификатор CVE-2025-43300 и затрагивает фреймворк...

Исследование показало неожиданные лазейки в «песочнице» Chrome. Вышла книга « From Day Zero to Zero Day » издательства No Starch Press, посвящённая основам исследования уязвимостей. Автор представил её на DEF CON 33 и конференции Crypto & Privacy Village, где рассказал о проблемах в...

Когда UI пуст, а ИИ слышит команды. Специалисты показали , что последние модели Gemini устойчиво принимают скрытые Unicode Tag символы за инструкции — невидимый в интерфейсе текст становится командами для ИИ. Под удар попадают все интеграции на базе Gemini, включая новый агент кодирования...

Microsoft исправила утечку хэшей через иконки — и открыла её через исполняемые файлы Исследователи из Cymulate Research Labs сообщили о новой уязвимости в Windows, которая позволяет обойти недавний патч Microsoft и вновь привести к утечке NTLM-хэшей без каких-либо действий со стороны...

В системе очередной баг. Без CVE и подробностей… Компания Plex предупредила часть пользователей о необходимости срочно обновить свои медиа-серверы из-за уязвимости, информация о которой пока практически не раскрывается. Речь идёт о дефекте, исправленном в последних релизах, но ещё не...

Атакующему достаточно одного запроса, чтобы захватить всё. Cisco опубликовала предупреждение о критической уязвимости в подсистеме RADIUS программного обеспечения Secure Firewall Management Center. Дефект получил идентификатор CVE-2025-20265 и максимальный балл по шкале CVSS — 10 из 10...

Тысячи компаний остались без данных о поставках. Британская компания Stock in the Channel (STIC) , предоставляющая цифровую платформу для мониторинга наличия и цен на IT-оборудование, заявила о кибератаке, вызвавшей масштабный сбой в работе её сервиса. По данным организации, атака произошла...

Неаутентифицированные атаки ставят под угрозу конфиденциальные данные. Zoom устранила критическую уязвимость в своих клиентах для Windows, а Xerox выпустила исправления для опасных ошибок в системе FreeFlow Core. Обе проблемы могли дать злоумышленникам серьёзные возможности — от...

После всплеска атак на Fortinet SSL VPN выявлена новая критическая брешь. Fortinet объявила о критической уязвимости в системе FortiSIEM, которая уже сопровождается рабочим эксплойтом, распространяющимся в открытом доступе. Ошибка позволяет удалённому неаутентифицированному злоумышленнику...

Как хакеры могли парализовать госкоммуникации через Matrix. Фонд Matrix Foundation , отвечающий за одноимённый федеративный коммуникационный протокол, сообщил о выпуске внепланового обновления, устраняющего две уязвимости высокого уровня опасности , которые при успешной эксплуатации могли...

Google тестирует новый вариант защиты от атак спекулятивного выполнения. Несколько лет назад инженеры Google начали работать над механизмом Address Space Isolation (ASI) для ядра Linux, который должен был защитить систему от атак с использованием спекулятивного выполнения команд процессора...

Один баг в SSH ломает промышленные сети от США до Австралии. Исследователи зафиксировали, что критический изъян в реализации SSH стека Erlang/Open Telecom Platform начали активно использовать ещё в начале мая 2025 года; около 70% срабатываний пришлись на межсетевые экраны, защищающие...

CVE-2025-53770 и CVE-2025-48799 позволяют обойти защиту и получить права администратора. Эксперты Positive Technologies отнесли к числу трендовых две критические уязвимости в продуктах Microsoft. Такие уязвимости требуют срочного исправления или применения компенсирующих мер, так как уже...

Уязвимость в Exchange, которая способна обнулить безопасность домена. В начале апреля 2025 года Microsoft выпустила внеплановое обновление для Exchange Server , устраняющее критическую уязвимость CVE-2025-53786 , которая затрагивает версии Exchange Server 2016, Exchange Server 2019 и...

ESET раскрывает подробности о недавно обнаруженной уязвимости. Команда ESET опубликовала детальный разбор, как хакерская группировка RomCom использовала неизвестную ранее уязвимость обхода путей в WinRAR (CVE-2025-8088) для незаметной установки вредоносного ПО на компьютеры жертв. Баг...