zero-click

Даже после обновлений пароли остаются под угрозой. Один недочёт в обновлении безопасности открыл новый путь для атаки. Устранив уязвимость, которую использовала группировка APT28 , разработчики закрыли удалённое выполнение кода, но оставили другую проблему, позволяющую выманивать учётные...

Найден способ взлома Adobe Reader без участия пользователя. Обычный PDF-файл оказался куда опаснее, чем кажется. Злоумышленники уже несколько месяцев используют уязвимость в Adobe Reader , которая срабатывает сразу после открытия документа и не требует никаких дополнительных действий от...

Разработчики FreeScout выпустили экстренное обновление после обнаружения способа обхода защиты. OX Research в новом отчёте описала, как обычное письмо на служебный адрес может привести к захвату сервера. Специалисты обнаружили критическую уязвимость в системе поддержки FreeScout. Достаточно...

Хакеры могут «отравить» память ChatGPT и похищать данные между сессиями. Tenable Research обнаружила в ChatGPT 7 новых уязвимостей и приёмы эксплуатации, которые позволяют извлекать приватные данные пользователей, обходить защиту и закреплять доступ между сессиями — речь о наборах проблем...

Одно аудиосообщение открывает доступ к телефону без единого клика. Команда Google Project Zero раскрыла критическую уязвимость в декодере Dolby DDPlus Unified Decoder, которая позволяет выполнять произвольный код на Android-устройствах без участия пользователя. Уязвимость получила...

Уязвимость в OpenAI взломала не только почту, но и Dropbox, GitHub и другие сервисы. OpenAI устранила серьезную уязвимость ShadowLeak, которая позволяла агенту Deep Research, работающему в облаке, незаметно вытягивать личные данные из подключенных источников и отправлять их на сторонние...

Он просто подключился к Wi-Fi — и заразил всё здание. Специалисты Oligo Security обнаружили 23 уязвимости в протоколе Apple AirPlay и AirPlay SDK, которые позволяют удалённо захватывать контроль над устройствами Apple и сторонними гаджетами, поддерживающими AirPlay. Вектор атак получил...

Атака не требует никаких действий со стороны владельца устройства. В кодеке Monkey’s Audio (APE), используемом на смартфонах Samsung , была обнаружена серьёзная уязвимость, приводящая к выполнению произвольного кода. Проблема, получившая идентификатор CVE-2024-49415 и оценку CVSS 8.1...

Ошибка TCP/IP распространяется по системам с IPv6 без участия пользователя. Microsoft предупредила пользователей о критической уязвимости TCP/IP, которая позволяет удалённое выполнение кода ( RCE ) на всех системах Windows с включенным по умолчанию протоколом IPv6. Уязвимость...

Ошибки аутентификации могли разрушить цепочку поставок Apple. Специалисты EVA Information Security обнаружили уязвимости в менеджере зависимостей CocoaPods, которые оставались незамеченными более 10 лет и могли быть использованы для организации атак на цепочку поставок для macOS и iOS ...

Новый Zero-Click RCE-эксплойт выставлен на продажу за $5 млн. 16 июня злоумышленник под псевдонимом «Sp3ns3r» в своей публикации на киберпреступной площадке BreachForums объявил о продаже высокоуровневого Zero-day эксплойта для удалённого выполнения кода ( RCE ). В объявлении...

Facebook заплатила рекордную сумму специалисту за нахождение уязвимости, которая давала доступ к любому аккаунту. Непальский исследователь кибербезопасности Самип Арьял вошел в историю, обнаружив уязвимость в системе сброса пароля Facebook*, которая позволяла злоумышленнику без всяких...

Google раскрыла подробности о разработчиках шпионского ПО и призвала к международному сотрудничеству. Корпорация Google в своем новом отчете выделила деятельность нескольких компаний, занимающихся разработкой программ-шпионов, и призвала США и их союзников активнее бороться с индустрией...

Лондонская конференция поднимает актуальные вопросы в борьбе с хакерами по найму. В столице Великобритании, Лондоне, стартовала уникальная международная конференция, объединившая представителей 35 стран, а также ключевых игроков бизнеса и технологической сферы. Основной целью этого...

Будет ли выполнен призыв к запрету шпионского ПО? Согласно совместному отчету правозащитных организаций Access Now и Citizen Lab , телефоны 35 журналистов, активистов, правозащитников и представителей гражданского общества в Иордании были атакованы с помощью шпионского ПО Pegasus...

Почему администраторы не спешат с обновлением, рискуя защитой своих сетей? Критическая Zero-click уязвимость CVE-2023-7028 (оценка CVSS 10.0), о которой мы уже сообщали на прошлой неделе, обнаружена исследователями в более чем 5 300 экземплярах GitLab , доступных из Интернета. Несмотря...

Виновата ли NSO Group в разработке скрытного эксплойта для слежки? Американский суд отклонил ходатайство израильской компании NSO Group , разработчика шпионского программного обеспечения Pegasus, об отклонении иска, поданного Apple . Корпорация обвиняет NSO в нарушении законов о...

Компания призывает пользователей обновиться как можно скорее. Компания GitLab выпустила обновления безопасности как для Community, так и для Enterprise Edition в целях устранения ряда критических уязвимостей. Разработчики настоятельно рекомендуют обновить все уязвимые версии платформы...

Это самая опасная из 85 проблем, которые Google пытается исправить в декабрьском обновлении безопасности. Google выпустила обновления безопасности Android за декабрь , которые устраняют 85 уязвимостей, включая критическую Zero-Click уязвимость удаленного выполнения кода (Remote Code...

Недосказанность Google привела к нераскрытию уязвимости в тысячи приложениях. Google представила новые подробности о критической уязвимости, которая затрагивает тысячи отдельных приложений и программных фреймворков. Предыдущая версия о недостатке давала ошибочное представление о том, что...

Критические уязвимости в системах компаний поставили под угрозы продукты других разработчиков. Согласно новому отчёту ИБ-компании Rezillion, в недавних сообщениях Apple и Google была предоставлена неполная информация о критических уязвимостях, которые активно эксплуатируются в их...

Корпорация не оставила шансов для шпионов, повысив безопасность устаревших устройств. Apple выпустила обновления безопасности для старых iPhone, чтобы исправить уязвимость нулевого дня CVE-2023-41064, которая активно использовалась для заражения устройств iOS шпионским ПО NSO Pegasus...

Citizen Lab обнаружила неожиданную связь между новыми эксплойтами и шпионским ПО от NSO Group. Вчера компания Apple выпустила экстренные обновления безопасности, устраняющие две Zero-Click уязвимости нулевого дня. То есть методы взлома, которые были использованы в атаках, были неизвестны...

Совет ежедневно выключать iPhone, чтобы защититься от кибератак, оказался ненадёжной мерой защиты. На прошлой неделе премьер-министр Австралии Энтони Албанезе призвал граждан страны выключать свои мобильные телефоны на 5 минут каждый вечер как часть мер по обеспечению кибербезопасности. Он...

Бен Барнеа из компании Akamai раскрывает подробности новой Zero-Click уязвимости для Windows. Исследователи кибербезопасности рассказали о недавно исправленной уязвимости в платформе MSHTML операционной системы Windows, которая могла быть использована для обхода механизмов защиты...