уязвимость

Специалисты Google Cloud открыли всеобщий доступ к инструменту «судного дня». Mandiant опубликовала обширный набор радужных таблиц , предназначенных для расшифровки устаревшего протокола Net-NTLMv1. Эта инициатива призвана ускорить отказ от технологии, признанной небезопасной ещё в конце...

Брешь StackWarp позволяет извлекать ключи RSA-2048 из защищенных виртуальных машин. Исследователи из немецкого центра информационной безопасности CISPA Helmholtz обнаружили уязвимость в процессорах AMD, которая ставит под угрозу данные в защищённых виртуальных средах. Проблема затрагивает...

В AsyncOS нашли идеальную уязвимость для шпионажа. Cisco устранила уязвимость максимальной степени критичности в AsyncOS, которая находилась под атакой как минимум месяц. Компания раскрыла информацию об уязвимости CVE-2025-20393 ещё 17 декабря. Она затрагивает некоторые устройства Secure...

Эксперты CyberOK выявили ошибку в TrueConf Serve. Эксперт компании СайберОК Роман Малов обнаружил уязвимость в TrueConf Server — популярной платформе для видеоконференцсвязи. Проблема связана с некорректной обработкой ответов при аутентификации через LDAP: сервер по-разному реагирует на...

В Wiz обнаружили критическую уязвимость в сервисе AWS CodeBuild. Исследователи безопасности из компании Wiz обнаружили критическую уязвимость в сервисе AWS CodeBuild , которая позволяла полностью захватить GitHub-репозитории самой Amazon и потенциально скомпрометировать облачные среды...

Уязвимость в компоненте GlobalProtect затронула крупнейшие банки США и компании из списка Fortune 10. Palo Alto Networks закрыла опасную уязвимость в своих межсетевых экранах, которая позволяла атакующим без аутентификации фактически выводить защиту из строя. Ошибка могла использоваться для...

Январский патч Microsoft нельзя игнорировать. Компания Microsoft выпустила январское обновление безопасности, устраняющее две серьёзные уязвимости нулевого дня в файловой системе NTFS. Обе проблемы обнаружил Сергей Тарасов, руководитель группы анализа уязвимостей компании Positive...

NCSC выпустил руководство по защите операционных технологий от кибератак. Ещё недавно главной целью промышленных сетей была такая работа, чтобы оборудование не останавливалось. Но сегодня заводские линии, энергетика, водоканалы и транспорт всё чаще подключают аналитику в реальном времени...

В зоне риска оказались системы, работающие на каждом втором проекте. Разработчики Node.js выпустили обновления для устранения критической уязвимости, которая способна привести к отказу в обслуживании на большинстве приложений, работающих в продакшене. Проблема связана с некорректной...

Критическая брешь в консоли Apex Central работает удалённо, без паролей и даже без участия админа. Trend Micro закрыла критическую уязвимость в локальной (on-premise) версии Apex Central. Ошибка позволяла удалённому злоумышленнику выполнять произвольный код с правами SYSTEM — то есть на...

Дыра на 9.2 балла, патч вышел месяц назад — но кто проверяет обновления библиотек? В популярной JavaScript-библиотеке jsPDF, которую используют для генерации PDF-файлов, обнаружили критическую уязвимость. Она позволяет злоумышленнику подсовывать произвольные пути к файлам и встраивать...

Админам Veeam советуют срочно обновиться до 13.0.1.1071 из-за набора опасных ошибок в ветке 13. Резервные копии обычно считаются последней линией обороны, но на этой неделе Veeam напомнила, что и сами системы бэкапа могут стать точкой входа для атаки. Компания выпустила обновления...

Речь идет не о баге прошивки, а о фундаменте безопасности консоли. Под самый конец 2025 года в профильных сообществах вокруг PlayStation 5 всплыла утечка , которая звучит для Sony как худший сценарий. По сообщениям участников сцены и ряда СМИ, в открытом доступе оказался массив данных с так...

Почему разработчики переписали копирование строк и что это меняет для безопасности. Есть функции, которые в языке C выглядят как удобные мелочи, но на практике годами собирают вокруг себя ошибки. В проекте curl одну из таких уже «вынесли» из кода, а теперь решили добить и вторую. Разработчик...

Ошибки в Bluetooth-стеке превращают гарнитуру в точку входа для атак рядом с вами. Представьте, что ваши беспроводные наушники превращаются в тихий «жучок», а телефон рядом с ними внезапно становится гораздо доступнее для посторонних. Исследователи по безопасности раскрыли критические...

В 2025 году эксплойты выходят «в бой» почти сразу после раскрытия. Еще недавно уязвимости нулевого дня казались экзотикой из мира спецопераций и шпионажа. Теперь это вполне массовый инструмент взлома корпоративных сетей, причем не только потому, что атак стало больше. Главная перемена — в...

Разбираемся, как архитектурная небрежность XSpeeder подставила корпоративных клиентов. В устройствах XSpeeder выявлена критическая уязвимость, которая может привести к удалённому выполнению произвольного кода без прохождения аутентификации. XSpeeder — китайский производитель сетевого...

Достаточно одной невидимой строчки текста, чтобы превратить ваше устройство в кибероружие. На недавней конференции Chaos Communication Congress в Германии прозвучало новое предостережение относительно угроз, связанных с использованием ИИ-агентов . По словам специалиста по информационной...

Флагманские модели от топовых брендов оказались идеальными карманными шпионами. Уязвимости в беспроводных наушниках на базе чипов Airoha открыли возможность для удалённого взлома смартфонов, с которыми они соединены. Обнаруженные специалистами проблемы затрагивают множество популярных моделей...

Уязвимость 8.7 балла затронула все версии с 3.6 до 8.2 — миллионы баз по всему миру под угрозой. В MongoDB обнаружили серьёзную уязвимость , которая позволяет удалённому злоумышленнику без какой-либо аутентификации получить доступ к неинициализированной памяти сервера. Проблема получила...

ИИ-чатбот Eurostar принимал историю диалога целиком, и именно это стало слабым местом всей защиты. Специалисты нашли сразу несколько уязвимостей в публичном чат-боте Eurostar и показали, что «современный» LLM-интерфейс может ломаться ровно по тем же причинам, что и обычные веб-сервисы...

Избыточная исполнительность алгоритмов привела к неожиданным последствиям. В работе юридического помощника на базе искусственного интеллекта Vincent, разработанного компанией vLex, была обнаружена уязвимость, позволяющая злоумышленникам проводить фишинговые атаки через внедрение скрытого...

Рождественский подарок для админов. Накануне Рождества в Linux обнаружилась неприятная ошибка, которая может доставить много проблем администраторам серверов, особенно в публичных облаках. Речь о сценарии, когда гостевая виртуальная машина на KVM использует Intel Advanced Matrix Extensions...

Разбираемся, как работает CVE-2025-38352 — новая цифровая западня. Уязвимость в реализации POSIX CPU таймеров ядра Linux стала предметом обсуждения после публикации рабочего PoC-эксплойта. Речь идёт об ошибке CVE-2025-38352 с типичным сценарием use-after-free, которая затрагивает функцию...

Как один из самых полезных инструментов мог превратиться в головную боль для сисадминов? Уязвимость в платформе автоматизации рабочих процессов n8n , использующейся по всему миру, позволяет злоумышленникам удалённо выполнять произвольный код. Ошибка получила идентификатор CVE-2025-68613 и...