уязвимости

Старая уязвимость никуда не исчезла, а лишь обросла новыми рисками. Долгая история с React2Shell , из-за которой у многих веб-проектов до сих пор возникают сбои, получила продолжение: выяснилось, что прежнее исправление проблемы было неполным. На фоне разбора этого случая в реализации React...

Мастер-класс по лоббизму в кибербезопасности. В конце июля 2025 года в социальной сети X развернулась необычная кампания. Дакота Кэри, позиционирующий себя как эксперт по китайской кибербезопасности, внештатный профессор Джорджтаунского университета и сотрудник Атлантического совета...

Многолетние мольбы IT-сообщества наконец были услышаны. Португалия расширила правовые рамки в сфере цифровой безопасности, закрепив защиту для добросовестных специалистов, изучающих уязвимости в информационных системах. Обновлённая норма стала ответом на давний запрос отрасли, стремящейся...

Эксплойт yETH в Yearn Finance обернулся потерей почти $3 млн из-за искусственно созданного «суперминта». Yearn Finance столкнулась с серьёзной атакой на продукт yETH, в результате которой злоумышленник сумел вывести около тысячи ETH — почти 3 миллиона долларов — воспользовавшись уязвимостью в...

Тысячи компаний под угрозой. Специалисты PT SWARM Артем Данилов, Роман Черемных и Даниил Сатяев выявили 22 уязвимости в модулях системы технической поддержки FreeScout. Этот опенсорсный хелпдеск совмещает функции тикетной системы и почтового сервиса, а эксплуатация найденных дефектов могла...

Хакеры научились взламывать компьютеры до включения операционной системы. В открытом доступе появился обновлённый пакет исправлений для загрузчика GRUB2, закрывающий сразу 6 уязвимостей, большинство из которых приводит к обращению к памяти после её освобождения. Подобные ошибки потенциально...

CISA выдвинула FortiWeb ультиматум из-за критической RCE-уязвимости. В последние дни стало ясно, что в FortiWeb накапливались проблемы, о которых производитель предпочитал не говорить заранее. После того как Fortinet признала активную эксплуатацию критической уязвимости CVE-2025-64446...

Необычный сертификат на 100 лет объединил десятки тысяч устройств ASUS в единый ботнет. Массовое заражение устаревших маршрутизаторов ASUS стало центром новой скрытной кампании, которая незаметно разворачивалась на протяжении полугода и затронула десятки тысяч устройств по всему миру. Под...

Positive Technologies представила новую версию системы управления уязвимостями. Positive Technologies представила обновление MaxPatrol VM 2.10. В релиз вошли доработки, направленные на ускорение работы системы и повышение точности обнаружения уязвимостей без изменения общей логики продукта...

Ошибки авторизации и отсутствие ограничений на вход облегчают захват хоста. В корпоративном сервере видеосвязи TrueConf Server выявлены 0-day уязвимости. Исследователи СайберОК обнаружили цепочку уязвимостей, которая при последовательной эксплуатации может привести к компрометации хоста...

17 дыр, root по умолчанию и отключённый SELinux. На рынке цифровых фоторамок обнаружена масштабная проблема: устройства на базе Android , выпускаемые под маркой Uhale, загружают вредоносные компоненты при старте системы и содержат набор критических уязвимостей, позволяющих получать полный...

Контроль доступа снова провален и снова на первом месте. Когда мы уже научимся? Организация Open Worldwide Application Security Project (OWASP) опубликовала обновлённый список Top 10 Application Security Risks 2025 — первый после версии 2021 года. Документ был представлен на конференции...

Ботнет вырос в семь раз и теперь атакует не только домашние устройства. Обнаружена новая версия ботнета RondoDox, демонстрирующая резкий рост масштабов атак и уровня технической сложности. Исходная версия, описанная осенью 2024 года, использовала лишь пару уязвимостей в устройствах...

Публичное тестирование на Pwn2Own оказалось лучшей защитой. Тайваньская компания QNAP выпустила обновления для своих систем, устраняющие 7 уязвимостей нулевого дня (zero day), продемонстрированных участниками конкурса Pwn2Own Ireland 2025 . Проблемы затрагивали фирменные операционные системы...

Apple пришлось официально благодарить и выпустить экстренные обновления для всех устройств. Google разработала искусственный интеллект под названием Big Sleep, который уже приносит ощутимую пользу в сфере информационной безопасности. На этой неделе Apple официально поблагодарила компанию за...

Специалисты обнаружили уязвимости, превращающие удобство в угрозу личной безопасности. Браузеры с поддержкой искусственного интеллекта стремительно меняют привычную структуру веб-сёрфинга, превращаясь из пассивных инструментов отображения страниц в активных участников действий пользователя...

CVE-2025-59287: как получить права SYSTEM без авторизации… Хакеры начали активно эксплуатировать уязвимость в службе обновлений Windows Server Update Services (WSUS). Ошибка зарегистрирована как CVE-2025-59287 и уже имеет публично доступный PoC-код , что значительно повышает риск массовых...

Рекордная волна нападений против GutenKit и Hunk Companion с десятками тысяч установок. Крупная кампания по эксплуатации уязвимостей обрушилась на сайты WordPress: злоумышленники атакуют ресурсы, где установлены плагины GutenKit и Hunk Companion, уязвимые к критическим ошибкам, позволяющим...

От взлома за секунду до сложных цепочек из пяти багов — участники демонстрируют мастерство высшего уровня. Во второй день соревнования Pwn2Own Ireland 2025 участники продемонстрировали впечатляющие успехи, обнаружив 56 новых уязвимостей нулевого дня и заработав за них в сумме 792 750...

Как закон о «белых» хакерах может превратить их в преступников. В России готовят новую версию законопроекта о легализации «белых» хакеров. Как рассказали РБК два источника в госорганах и отрасли информационной безопасности, документ уже прошёл основную стадию согласований и готовится к...

30 исследователей из России и других стран провели двухнедельное тестирование систем защиты крупных компаний. В ходе шестого международного Standoff Hacks участники подготовили почти 300 отчетов о найденных уязвимостях, усилив защищенность Т-Банка и Wildberries. В течение двух недель 30...

Патч устраняет шесть критических 0day-уязвимостей и более 170 других проблем. Microsoft выпустила финальное накопительное обновление Windows 10 — KB5066791 , завершив поддержку этой версии операционной системы для широкой аудитории. Оно стало частью октябрьского релиза обновлений...

Три эксплойта применялись в реальных атаках ещё до того, как Microsoft закрыла дыры. Вчера Microsoft выпустила традиционный пакет октябрьских обновлений безопасности, устранив 172 уязвимости в своих продуктах. В числе исправлений — шесть опасных уязвимостей нулевого дня, а также восемь...

Что такое «AI Security Engineer» и почему он изменит подход к разработке безопасного ПО? На рынке появились первые действительно работающие решения, использующие искусственный интеллект для поиска уязвимостей в исходном коде. Новое поколение AI-SAST-систем — так называемых «AI Security...

Не просто латает дыры, а переписывает целые библиотеки. Google DeepMind представила CodeMender — новый ИИ-агент, созданный для автоматического поиска и исправления уязвимостей в программном коде. По данным официального блога компании , система объединяет возможности больших языковых моделей...