уязвимости

Теперь злоумышленникам не нужен пароль — достаточно одного скрытого запроса. В условиях стремительного развития технологий искусственного интеллекта специалисты всё чаще обращают внимание на слабые места новых протоколов взаимодействия. Один из таких случаев связан с Model Context Protocol (...

Новый отчёт компании об угрозах, которые не давали ИБшникам покоя последний год. Команда Google Threat Intelligence Group (GTIG) обнаружила масштабную эксплуатацию критических брешей в программном обеспечении. За минувший год киберпреступники использовали 75 ранее неизвестных производителям...

Ivanti, Cisco и PAN — хакеры обошли тех, кто должен был защищать. Количество уязвимостей нулевого дня, которые активно использовались злоумышленниками в 2024 году, составило 75 — этот показатель ниже, чем в 2023 году, когда было зафиксировано 98 случаев, но заметно выше значений 2022 года...

ФБР тихо злорадствует в сторонке. Попытка возродить печально известную хакерскую площадку BreachForums потерпела неудачу из-за уязвимости нулевого дня в PHP. Об этом сообщил новый администратор ресурса, отметив, что взлом стал возможен из-за устаревшего и необновленного программного...

Внутренние цепочки доверия превращаются в тропы для незаметного перемещения хакеров. Федеральное агентство по кибербезопасности США (CISA) включило в реестр активно эксплуатируемых уязвимостей две новые критические ошибки, затрагивающие инфраструктуру хранения данных Broadcom Brocade Fabric...

Как из одного запроса сделать дыру в защите ИИ. Одна из ключевых тем безопасности в области ИИ снова оказалась в центре внимания после выявления двух системных методов обхода защитных механизмов в популярных генеративных сервисах. Новые уязвимости, получившие названия «Inception» и...

Апдейты спасают… но не всегда. Группа реагирования на инциденты CSIRT компании Orange Cyberdefense обнаружила масштабную серию вторжений в серверы, работающие на базе Craft CMS — популярной системы управления контентом для создания и администрирования веб-сайтов. Расследуя компрометацию одной...

Как запросы путешествовали через Великую стену без паспорта. Управление по защите персональных данных Южной Кореи обнаружило серьезные нарушения в работе китайского стартапа DeepSeek. По данным регулятора, компания передавала пользовательскую информацию и текстовые запросы третьим лицам без...

28% уязвимостей используются в первые сутки. Успевают ли сисадмины обновить софт? За первый квартал 2025 года в киберпространстве были зафиксированы атаки, использующие 159 уникальных уязвимостей с присвоенными CVE-идентификаторами. Это немного больше по сравнению с концом прошлого года...

54% компаний не обладают полной картиной своих активов. Специалисты компании Positive Technologies выяснили , как организации из ключевых отраслей экономики выстраивают процессы управления цифровыми активами. Согласно результатам исследования, 54% респондентов не знают обо всех устройствах...

Поддержка пришла оттуда, откуда никто не ждал. Программа CVE, служащая основным мировым механизмом учёта и идентификации уязвимостей в программном обеспечении, неожиданно оказалась на грани приостановки . Однако за день до окончания контракта правительство США всё же одобрило его продление...

Что аналитики нашли в коде популярного ИИ-помощника? Аналитики обнаружили серьезные недочёты в приложении Perplexity AI, которые позволяют похищать пароли и персональные сведения людей по всему миру. В 2025 году искусственный интеллект не просто заменяет поисковые системы, списки покупок и...

Отчет Cyble: чем критичнее инфраструктура, тем больше в ней дыр? 70 уязвимостей в промышленных системах управления обнаружила компания Cyble при анализе последних предупреждений от американского Агентства кибербезопасности. Среди проблем, выявленных в 16 свежих отчётах CISA, 6 признаны...

Microsoft, Kubernetes и VMware синхронно дают сбой. Эксперты Positive Technologies отнесли к числу трендовых ещё одиннадцать уязвимостей, затрагивающих ключевые элементы цифровой инфраструктуры. В список вошли продукты Microsoft, гипервизоры VMware, контроллер Kubernetes и веб-сервер Apache...

О принудительной регистрации можно забыть… пока дыру не залатают. Пользователи нашли новый способ установить Windows 11 без привязки к онлайн-аккаунту Microsoft. Этот метод работает даже в самых свежих сборках, несмотря на недавние попытки корпорации закрыть все обходные пути (совсем недавно...

Национальный киберщит США ослабевает под натиском растущего числа атак. Национальная база данных уязвимостей США (NVD) продолжает сталкиваться с нарастающими трудностями — несмотря на усилия по восстановлению прежнего темпа обработки информации, отставание от графика публикации записей об...

Бэкдор в моделях Go1 ‒ случайность или хитрый ход Большого Брата? Берлинская компания thinkAwesome GmbH обнаружила серьёзную уязвимость в популярных четвероногих роботах Unitree Go1. В устройствах оказался предустановленный и нигде не задокументированный сервис удалённого доступа. По...

Раскрыта ещё одна неприятная уязвимость современных LLM. Исследователи из команды Cato CTRL обнаружили неожиданную уязвимость в работе современных языковых моделей. Им удалось обойти защитные механизмы нескольких популярных чат-ботов, включая ChatGPT-4, DeepSeek-R1, DeepSeek-V3 и...

Как всего один POST-запрос может остановить работу целого предприятия. Исследователи в области кибербезопасности раскрыли подробности двух критических уязвимостей в системе mySCADA myPRO, используемой в средах операционных технологий (OT). Эти уязвимости могут позволить злоумышленникам...

Интеграция с OSV-SCALIBR позволила сканировать контейнерные образы от слоя к слою. Google объявила о выпуске обновлённой версии OSV-Scanner — бесплатного инструмента для поиска уязвимостей в открытом исходном коде. Изначально представленный в 2022 году как интерфейс для базы данных...

Невидимые символы позволяют атакующим управлять поведением Copilot и Cursor. Специалисты по кибербезопасности обнаружили новую атаку на цепочку поставок под названием Rules File Backdoor. Уязвимость затрагивает ИИ-редакторы кода GitHub Copilot и Cursor, позволяя злоумышленникам внедрять...

Желание обезопасить ребенка может привести к непоправимым последствиям. Исследователи из Университетского колледжа Лондона (UCL) и Университета прикладных наук Санкт-Пёльтена (Австрия) обнаружили серьёзную проблему : многие приложения родительского контроля, устанавливаемые из...

Как привычные форматы данных превращаются в цифровых диверсантов. Исследовательская группа Cisco Talos сообщила о недавно обнаруженных уязвимостях в библиотеке Miniaudio и программном обеспечении Adobe Acrobat Reader. Согласно опубликованным данным, проблемы связаны с возможностью...

DLL Hijacking и эскалация привилегий позволяют полностью скомпрометировать промышленные объекты. Программное обеспечение ICONICS, используемое в промышленных SCADA-системах по всему миру, оказалось уязвимым перед атаками, позволяющими повысить привилегии, осуществлять DLL Hijаcking и изменять...

Традиционные методы защиты отстают от масштабных атак. В 2024 году злоумышленники не просто использовали уязвимости, они автоматизировали их эксплуатацию в промышленных масштабах, превращая интернет в среду для массовых атак. Атаки начинались буквально через часы после раскрытия новых...