уязвимости

Эксплойт yETH в Yearn Finance обернулся потерей почти $3 млн из-за искусственно созданного «суперминта». Yearn Finance столкнулась с серьёзной атакой на продукт yETH, в результате которой злоумышленник сумел вывести около тысячи ETH — почти 3 миллиона долларов — воспользовавшись уязвимостью в...

Тысячи компаний под угрозой. Специалисты PT SWARM Артем Данилов, Роман Черемных и Даниил Сатяев выявили 22 уязвимости в модулях системы технической поддержки FreeScout. Этот опенсорсный хелпдеск совмещает функции тикетной системы и почтового сервиса, а эксплуатация найденных дефектов могла...

Хакеры научились взламывать компьютеры до включения операционной системы. В открытом доступе появился обновлённый пакет исправлений для загрузчика GRUB2, закрывающий сразу 6 уязвимостей, большинство из которых приводит к обращению к памяти после её освобождения. Подобные ошибки потенциально...

CISA выдвинула FortiWeb ультиматум из-за критической RCE-уязвимости. В последние дни стало ясно, что в FortiWeb накапливались проблемы, о которых производитель предпочитал не говорить заранее. После того как Fortinet признала активную эксплуатацию критической уязвимости CVE-2025-64446...

Необычный сертификат на 100 лет объединил десятки тысяч устройств ASUS в единый ботнет. Массовое заражение устаревших маршрутизаторов ASUS стало центром новой скрытной кампании, которая незаметно разворачивалась на протяжении полугода и затронула десятки тысяч устройств по всему миру. Под...

Positive Technologies представила новую версию системы управления уязвимостями. Positive Technologies представила обновление MaxPatrol VM 2.10. В релиз вошли доработки, направленные на ускорение работы системы и повышение точности обнаружения уязвимостей без изменения общей логики продукта...

Ошибки авторизации и отсутствие ограничений на вход облегчают захват хоста. В корпоративном сервере видеосвязи TrueConf Server выявлены 0-day уязвимости. Исследователи СайберОК обнаружили цепочку уязвимостей, которая при последовательной эксплуатации может привести к компрометации хоста...

17 дыр, root по умолчанию и отключённый SELinux. На рынке цифровых фоторамок обнаружена масштабная проблема: устройства на базе Android , выпускаемые под маркой Uhale, загружают вредоносные компоненты при старте системы и содержат набор критических уязвимостей, позволяющих получать полный...

Контроль доступа снова провален и снова на первом месте. Когда мы уже научимся? Организация Open Worldwide Application Security Project (OWASP) опубликовала обновлённый список Top 10 Application Security Risks 2025 — первый после версии 2021 года. Документ был представлен на конференции...

Ботнет вырос в семь раз и теперь атакует не только домашние устройства. Обнаружена новая версия ботнета RondoDox, демонстрирующая резкий рост масштабов атак и уровня технической сложности. Исходная версия, описанная осенью 2024 года, использовала лишь пару уязвимостей в устройствах...

Публичное тестирование на Pwn2Own оказалось лучшей защитой. Тайваньская компания QNAP выпустила обновления для своих систем, устраняющие 7 уязвимостей нулевого дня (zero day), продемонстрированных участниками конкурса Pwn2Own Ireland 2025 . Проблемы затрагивали фирменные операционные системы...

Apple пришлось официально благодарить и выпустить экстренные обновления для всех устройств. Google разработала искусственный интеллект под названием Big Sleep, который уже приносит ощутимую пользу в сфере информационной безопасности. На этой неделе Apple официально поблагодарила компанию за...

Специалисты обнаружили уязвимости, превращающие удобство в угрозу личной безопасности. Браузеры с поддержкой искусственного интеллекта стремительно меняют привычную структуру веб-сёрфинга, превращаясь из пассивных инструментов отображения страниц в активных участников действий пользователя...

CVE-2025-59287: как получить права SYSTEM без авторизации… Хакеры начали активно эксплуатировать уязвимость в службе обновлений Windows Server Update Services (WSUS). Ошибка зарегистрирована как CVE-2025-59287 и уже имеет публично доступный PoC-код , что значительно повышает риск массовых...

Рекордная волна нападений против GutenKit и Hunk Companion с десятками тысяч установок. Крупная кампания по эксплуатации уязвимостей обрушилась на сайты WordPress: злоумышленники атакуют ресурсы, где установлены плагины GutenKit и Hunk Companion, уязвимые к критическим ошибкам, позволяющим...

От взлома за секунду до сложных цепочек из пяти багов — участники демонстрируют мастерство высшего уровня. Во второй день соревнования Pwn2Own Ireland 2025 участники продемонстрировали впечатляющие успехи, обнаружив 56 новых уязвимостей нулевого дня и заработав за них в сумме 792 750...

Как закон о «белых» хакерах может превратить их в преступников. В России готовят новую версию законопроекта о легализации «белых» хакеров. Как рассказали РБК два источника в госорганах и отрасли информационной безопасности, документ уже прошёл основную стадию согласований и готовится к...

30 исследователей из России и других стран провели двухнедельное тестирование систем защиты крупных компаний. В ходе шестого международного Standoff Hacks участники подготовили почти 300 отчетов о найденных уязвимостях, усилив защищенность Т-Банка и Wildberries. В течение двух недель 30...

Патч устраняет шесть критических 0day-уязвимостей и более 170 других проблем. Microsoft выпустила финальное накопительное обновление Windows 10 — KB5066791 , завершив поддержку этой версии операционной системы для широкой аудитории. Оно стало частью октябрьского релиза обновлений...

Три эксплойта применялись в реальных атаках ещё до того, как Microsoft закрыла дыры. Вчера Microsoft выпустила традиционный пакет октябрьских обновлений безопасности, устранив 172 уязвимости в своих продуктах. В числе исправлений — шесть опасных уязвимостей нулевого дня, а также восемь...

Что такое «AI Security Engineer» и почему он изменит подход к разработке безопасного ПО? На рынке появились первые действительно работающие решения, использующие искусственный интеллект для поиска уязвимостей в исходном коде. Новое поколение AI-SAST-систем — так называемых «AI Security...

Не просто латает дыры, а переписывает целые библиотеки. Google DeepMind представила CodeMender — новый ИИ-агент, созданный для автоматического поиска и исправления уязвимостей в программном коде. По данным официального блога компании , система объединяет возможности больших языковых моделей...

PT SWARM обнаружила 13 уязвимостей в Chamilo LMS. <strong>Эксперты PT SWARM </strong> выявили и помогли устранить 13 уязвимостей в Chamilo LMS — популярной платформе с открытым исходным кодом, которую используют университеты, школы и компании для дистанционного и корпоративного обучения...

70% исследователей используют ИИ в работе, а автономные агенты уже передали сотни валидных отчётов. Платформа для вознаграждений за найденные уязвимости HackerOne сообщила, что за последние 12 месяцев белые хакеры по всему миру получили выплаты на сумму $81 млн. По данным компании, это на...

Мультстудия перешла на новый уровень кибербезопасности. «Союзмультфильм» внедрил систему контролируемых авт опентестов PT Dephaze от Positive Technologies. Компания одной из первых заключила контракт на использование продукта. Тестирование стало частью стратегии развития кибербезопасности...