уязвимость

Уязвимость в дилерском портале дала полный контроль над чужими машинами. В системе онлайн-доступа для автодилеров одной из крупнейших мировых автомобильных компаний найдена уязвимость — достаточно было немного покопаться в коде страницы. Исследователь безопасности Итон Звэр из компании...

Даже переустановка системы бессильна. BadCam будет выполнять вредоносные команды снова и снова. Исследователи из Eclypsium выявили опасные уязвимости в веб-камерах Lenovo 510 FHD и Lenovo Performance FHD, которые позволяют превратить их в устройства атак типа BadUSB. Проблема получила...

Две команды исследователей нашли способ заставить ИИ раскрывать запрещённые инструкции. После того как Grok-4 удалось взломать за два дня, GPT-5 пала всего за 24 часа под натиском тех же исследователей. Почти одновременно команда тестировщиков SPLX (ранее SplxAI) заявила: «Сырой GPT-5...

WinRAR без патча проживёт в безопасности максимум сутки. Недавно закрытая уязвимость в WinRAR с идентификатором CVE-2025-8088 оказалась задействована в целевых фишинговых атаках ещё до выхода исправления. Проблема относилась к классу Directory Traversal и устранялась лишь в версии WinRAR...

CVE-2025-53786: критическая брешь, стирающая защиту гибридных Exchange до нуля. Microsoft вместе с федеральными ведомствами предупредили о новой уязвимости высокой степени опасности в гибридных установках Exchange Server, которая может позволить атакующему, уже имеющему доступ к локальному...

Радио с шифром — а враг уже в эфире. Радиосвязь, используемая спецслужбами, полицией и военными в десятках стран, оказалась уязвимой для прослушки — и это касается не только устаревших алгоритмов, но и тех решений, которые позиционировались как усиленные и надёжные. Специалисты из компании...

Архиватор установлен почти на всех корпоративных ПК с Windows. В июле — начале августа 2025 года кибершпионская группировка Paper Werewolf провела серию атак на организации в России и Узбекистане. Для заражения систем использовались фишинговые письма с вложенными RAR-архивами...

Почему даже 6 лет спустя уязвимость в протоколе всё ещё доступна для эксплуатации? Шесть лет назад специалисты PortSwigger впервые выявили фундаментальную уязвимость в протоколе HTTP/1.1, связанную с атаками на рассинхронизацию HTTP-запросов (HTTP Request Smuggling). Несмотря на то, что об...

Gemini теперь не спрашивает — он просто делает. В новой квартире в Тель-Авиве внезапно выключается свет, поднимаются умные жалюзи, а бойлер запускается без ведома жильцов. Всё это — не часть сценария «умного дома», а результат атаки, в которой центральную роль сыграл флагманский ИИ Google —...

Кто успеет первым — злоумышленник или пользователь? Google выпустила серию экстренных обновлений безопасности для Android, в которых устранены сразу несколько критических уязвимостей, включая две ошибки в компонентах Qualcomm, признанные активно эксплуатируемыми. На этот раз внимание...

Вайб-кодинг или троян — выбор за пользователем. ИИ-редактор кода Cursor оказался уязвимым перед атакой, которую команда Check Point назвала MCPoison. Уязвимость позволяла удалённо выполнять произвольный код на компьютере разработчика, если тот использовал ранее одобренную конфигурацию в...

Пользователь входит по отпечатку, а кто-то другой — по уязвимости. Обнаружены критические уязвимости в микрочипе Broadcom ControlVault, который используется для хранения конфиденциальных данных на более чем сотне моделей ноутбуков Dell. По данным Cisco Talos, эта серия уязвимостей позволяет...

Старые устройства вновь стали порталом для незваных гостей. В последнее время внимание киберпреступников вновь привлекают старые уязвимости в популярных моделях Wi-Fi камер и видеорегистраторов D-Link. Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) официально...

ИИ оказался болтливее пьяного программиста и выдал хакерам все свои секреты. Во время этапа предварительного тестирования кода Claude специалисты компании Cymulate выявили два критически опасных дефекта, способных превратить помощника для программистов в инструмент несанкционированного...

Миллиардные инвестиции оказались бессильны против простой JavaScript-атаки. Свежее автоматизированное исследование от компании ETHIACK показало , что современные средства защиты веб-приложений, включая широко используемые Web Application Firewall (WAF) , — уязвимы к атакам нового типа...

Каждый загруженный файл мог запустить массовые рыночные манипуляции. Streamlit, популярный фреймворк с открытым исходным кодом, широко используемый для создания аналитических и машинно-обучающих веб-приложений, оказался под угрозой из-за критической уязвимости в компоненте загрузки файлов...

148 компаний думали, что патчи работают. Масштабная кампания по эксплуатации цепочки уязвимостей Microsoft SharePoint продолжает набирать обороты, теперь с участием группировок-вымогателей. В ходе анализа серии атак специалисты Palo Alto Networks (подразделение Unit 42) обнаружили внедрение...

От конфиденциальности до «копируй и вставляй» — один клик. Компания Proton, известная своей ориентацией на приватность и безопасность, допустила досадную ошибку в своей новой разработке — приложении Proton Authenticator для двухфакторной аутентификации. В версии для iOS TOTP-секреты...

CVE-2025-54574 превращает обычный URN-запрос в оружие массового поражения. В прокси-сервере Squid выявлена критическая уязвимость , ведущая к удалённому выполнению произвольного кода. Проблема затрагивает почти все активно используемые версии, а из-за широкого распространения самого ПО...

Внедрение вредоносного кода через инструмент защиты — лишь вопрос времени. В популярной платформе MITRE Caldera , предназначенной для моделирования атак и тестирования защиты, была выявлена критическая уязвимость, способная привести к удалённому выполнению кода. Проблему обнаружил...

В Cursor обнаружена критическая брешь для тихих атак без вложений, вирусов и ссылок. В редакторе исходного кода Cursor, использующем искусственный интеллект для помощи программистам, была обнаружена критическая уязвимость, получившая идентификатор CVE-2025-54135 и условное название...

Глубоко в стеке пряталась дверь, которую просто забыли закрыть. Осенью 2024 года команда багхантеров InfoSect готовила атаку для участия в соревновании Pwn2Own Ireland, нацеленной на удалённое выполнение кода в IP-камере Synology TC500. Основой для эксплуатации стал дефект в реализации...

100 моделей ИИ протестировали на безопасность. Почти все провалились. Искусственный интеллект всё чаще становится помощником программистов, но исследование Veracode показало: за удобством кроется угроза безопасности. Анализ 100 крупных языковых моделей (LLM) выявил тревожную закономерность —...

Хакеры уже вовсю штудируют код — кто сумеет забрать главный приз? Организаторы крупнейшего хакерского соревнования Pwn2Own объявили награду , которая моментально сместила фокус всей индустрии: за демонстрацию полноценной уязвимости нулевого взаимодействия (zero-click) в WhatsApp можно будет...

У вас есть всего несколько часов, чтобы защитить свой сайт от армии хакеров. В популярной WordPress-теме для благотворительных организаций «Alone — Charity Multipurpose Non-profit» обнаружена критическая уязвимость, которая уже используется злоумышленниками для захвата сайтов. Уязвимость...