Безопасность не скачивается // 88,6% популярных в России мобильных приложений имеют уязвимости Специалисты по кибербезопасности обнаружили почти 30 тыс. уязвимостей в популярных в России мобильных приложениях, при этом количество критических угроз за год выросло вчетверо. Разработчики продолжают, например, хранить пароли в открытом виде и игнорировать базовые правила защиты данных. ...
HTB BigBang. Эксплуатируем баг в glibc для получения RCE Для подписчиковВ этом райтапе я покажу, как получить удаленное выполнение кода на сервере через уязвимость функции iconv в библиотеке GNU C Library (glibc). На пути к этой уязвимости проэксплуатируем LFI в плагине BuddyForms для WordPress и проанализируем код мобильного приложения. ...
HTB Heal. Эксплуатируем LFI в проекте Rails Для подписчиковСегодня я покажу, как эксплуатировать уязвимость локального включения файлов (LFI) в проекте на Ruby on Rails. Также используем RCE-уязвимость в LimeSurvey, а после получения сессии на сервере повысим свои привилегии через баг в API системы Consul. ...
HTB Alert. Эксплуатируем XSS и LFI для получения доступа на сервер Для подписчиковСегодня я покажу типичный случай эксплуатации двух распространенных веб‑уязвимостей — XSS (межсайтовый скриптинг) и LFI (локальное включение файлов). Примером нам послужит уязвимая форма обработки файлов в формате Markdown, а затем получим исходные коды мониторинга и сделаем себе веб‑ ...
HTB Administrator. Эксплуатируем цепочку уязвимых ACL для захвата домена Для подписчиковВ этот раз я покажу, как можно эксплуатировать цепочку чрезмерных разрешений Active Directory. Мы завладеем FTP-сервером, потом разберемся с менеджером паролей и вытащим из него учетку пользователя. Затем проэксплуатируем еще одну цепочку чрезмерных разрешений для выполнения DCSync и ...
В Vaultwarden обнаружили уязвимости Аналитики BI.ZONE проанализировали хранилище секретов с открытым исходным кодом Vaultwarden, чей API совместим с Bitwarden. По данным компании, в 2025 году этим решением пользуется каждая десятая российская компания. Специалисты обнаружили в Vaultwarden две опасные уязвимости. ...
В российской NetCat CMS исправили 23 уязвимости Специалисты Positive Technologies Алексей Соловьев и Ян Чижевский выявили множественные уязвимости в NetCat CMS. Суммарно было найдено 23 уязвимости с оценками от 8,1 до 9,1 балла по шкале CVSS 3.0, что соответствует высокой и критической степени серьезности. ...
Обновление XZ Utils 5.8.1 с устранением уязвимости Опубликован выпуск пакета XZ Utils 5.8.1, включающего библиотеку liblzma и утилиты для работы со сжатыми данными в формате ".xz". XZ Utils 5.8.1 стал первым значительным выпуском после инцидента с выявлением бэкдора, организующего вход через sshd. На прошлой неделе в Git был создан тег 5.8.0, но рел ...
OpenAI предлагает до 100 000 долларов за уязвимости Компания OpenAI увеличила максимальный размер вознаграждения за уязвимости до 100 000 долларов (с 20 000 долларов), так как планирует передать на аутсорсинг обнаружение критически важных уязвимостей в своей инфраструктуре и продуктах. ...
В МВД предупредили об уязвимости в версии WhatsApp для Windows В версии WhatsApp для Windows обнаружена уязвимость CVE-2025-30401, позволяющая злоумышленникам отправлять вредоносное ПО под видом безопасных файлов, сообщили в МВД России. В официальном Telegram-канале управления по борьбе с противоправным использованием информационно-коммуникационных технологий М ...
Bi.Zone WAF предотвращает эксплуатацию уязвимости в Grafana Сервис Bi.Zone WAF защищает пользователей программного обеспечения Grafana от уязвимости, которую злоумышленники могут... ...
Государственные «кибербезопасники» США предупредили об уязвимости SAP NetWeaver Агентство кибербезопасности и защиты инфраструктуры США (CISA) добавило серьезную уязвимость SAP NetWeaver, отслеживаемую как CVE-2025-31324, в свой каталог известных эксплуатируемых уязвимостей (KEV). Этот недостаток, оцененный в 10 баллов по шкале серьезности, позволяет злоумышленникам загружать и ...
МВД предупредило об уязвимости в десктопной версии WhatsApp Уязвимость, дающая возможность злоумышленникам пересылать вредоносные вложения, искусно замаскированные под безопасные файлы, обнаружена в десктопной версии WhatsApp (принадлежит корпорации Meta (организация, деятельность которой запрещена в РФ), 13 апреля сообщила пресс-служба управления по организ ...
МВД РФ предупредило об уязвимости в версии WhatsApp для Windows Пользователям десктопной версии WhatsApp советуют обновить приложение из-за серьёзной уязвимости (CVE-2025-30401), связанной с подменой файлов. Эта проблема позволяет злоумышленникам отправлять вредоносные вложения, маскируя их под безопасные документы или изображения, говорится в сообщении Вестника ...
IT-эксперт Кричевский рассказал об уязвимости OC Android Специалист посоветовал установить антивирус. IT эксперт Алексей Кричевский, работающий в Академии управления финансами и инвестициями, рассказал об уязвимости OC Android перед вирусами. Специалист пояснил, что из-за широкой распространенности системы, телефоны находятся под большей угрозой хакерског ...
Две трети российских банковских приложений содержат уязвимости Эксперты кибербезопасности изучили приложения банков на возможность утечки данных пользователей По результатам нового исследования, две трети российских финансовых приложений имеют серьёзные уязвимости, которые могут привести к утечкам данных. Согласно данным компании AppSec Solutions, почти 30% из ...
Обновление почтового сервера Exim 4.98.2 с устранением уязвимости Опубликован корректирующий выпуск почтового сервера Exim 4.98.2, в котором устранена уязвимость (CVE-2025-30232), потенциально позволяющая поднять свои привилегии. Возможна ли удалённая эксплуатация уязвимости не уточняется. ...
В продаже появился эксплоит для критической уязвимости в Roundcube Эксперты предупреждают, что хакеры начинают эксплуатировать свежую уязвимость (CVE-2025-49113) в опенсорсном почтовом клиенте Roundcube Webmail. Проблема позволяет удаленно выполнить произвольный код. ...
Россиян предупредили о мошенничестве с использованием уязвимости Google Как сообщила пресс-служба управления МВД по борьбе с киберпреступлениями, злоумышленники научились рассылать поддельные письма, маскируя их под официальные уведомления от адреса no-reply@google.com. ...
Вышел внеплановый патч для уязвимости нулевого дня в Chrome Компания Google выпустила внеплановое обновление для браузера Chrome, которое устраняет сразу три уязвимости. Одна из этих проблем уже активно эксплуатируется злоумышленниками. ...
В половине заменителей онлайн-приложений обнаружили уязвимости Почти половина (46%) российских веб-приложений содержит критические уязвимости, которые могут привести к утечке данных. Это следует из материалов компании «Солар» (входит в «Ростелеком»), «Известия» ознакомились с документами. Эти бреши опасны не только для частных, но и для корпоративных пользовате ...
Уязвимости в Asus DriverHub позволяют выполнить произвольный код Компания Asus выпустила патчи, исправляющие две уязвимости в Asus DriverHub. В случае успешной эксплуатации эти проблемы позволяли добиться удаленного выполнения произвольного кода. ...
Около половины российских приложений содержат уязвимости 46% приложений в интернете содержат уязвимости, которые могут привести к утечкам данных Почти половина российских веб-приложений имеет серьёзные уязвимости, которые могут привести к утечке данных, сообщила компания «Солар», входящая в «Ростелеком». Такие дыры в безопасности опасны не только для обыч ...
ASUS предупредила о критической уязвимости в своих роутерах ASUS сообщила о критической уязвимости в роутерах с включённой функцией AiCloud, которая позволяет злоумышленникам удалённо выполнять несанкционированные действия. Уязвимость, обозначенная как CVE-2025-2492, получила оценку 9.2 по шкале CVSS, что указывает на её высокую опасность. Как сообщает The H ...
Qualcomm устранила в своих процессорах серьёзные уязвимости Портал TechCrunch рассказал, что компания Qualcomm, ведущий производитель мобильных чипов, недавно устранила критические уязвимости в процессорах для Android-смартфонов. Уязвимости были обнаружены ещё в феврале. Свежие патчи направлены на устранение целого ряда недостатков безопасности, включая три ...
Microsoft устранила 72 уязвимости и 5 критических в майском обновлении Microsoft выпустил майское обновление Patch Tuesday, устранив 72 уязвимости в своих продуктах, включая пять активно эксплуатируемых уязвимости нулевого дня (Zero-day), сообщает CyberScoop. Zero-day — это дефекты, которые хакеры используют до выпуска официального исправления, что делает их особенно о ...
Стало известно об уязвимости в популярной программе для Windows Специалисты нашли критическую уязвимость в популярной программе-архиваторе WinRAR. Об этом сообщает издание BleepingComputer. Программа WinRAR помогает архивировать файлы для операционной системы Windows. ...
Microsoft готова заплатить до 30 000 долларов за связанные с ИИ уязвимости Компания Microsoft объявила об увеличении размера выплат по программе bug bounty до 30 000 долларов США за ИИ-уязвимости, обнаруженные в сервисах и продуктах Dynamics 365 и Power Platform. ...
Эксперты выявили уязвимости в банковских приложениях России Специалисты обнаружили 1583 потенциальные уязвимости в приложениях банков России, из которых 569 имеют высокий уровень опасности. Компания AppSec Solutions проанализировала безопасность российских банковских приложений и выявила, что две трети из них содержат различные уязвимости, сообщает РИА &laqu ...
Qualcomm устраняет три 0-day уязвимости, используемые в целевых атаках Компания Qualcomm выпустила исправления для трех уязвимостей нулевого дня. Разработчики предупредили, что эти проблемы уже использовались в ограниченных целевых атаках. ...
Апрельские обновления для Android устранили уязвимости нулевого дня Компания Google исправила более 60 уязвимостей в Android, включая две уязвимости нулевого дня, которые уже использовались в целевых атаках. ...
Уязвимости в приложениях такси угрожают данным пользователей Эксперты AppSec Solutions обнаружили, что более 30% уязвимостей высокого и критического уровня, способных привести к утечкам данных, присутствуют в 95 финансовых приложениях в России. Всего было найдено 1583 уязвимости, из которых 569 являются особенно опасными. Глава Банка России Эльвира Набиуллина ...
Уязвимости в сетевом конфигураторе ConnMan и DNS-библиотеке c-ares В сетевом конфигураторе ConnMan, получившем распространение во встраиваемых Linux-системах, автомобильных платформах и устройствах интернета вещей, выявлена уязвимость (CVE-2025-32743), которая потенциально может привести к выполнению кода при обработке специально оформленных ответов от DNS-сервера. ...
В vBulletin найдены две критические уязвимости, которыми пользуются хакеры В форумном движке vBulletin обнаружили сразу две критические уязвимости, одна из которых уже применяется в реальных атаках. ...
Сбер назначил награду за найденные уязвимости в умных устройствах Команда Сбербанка объявила о запуске новой программы поиска уязвимостей в своих продуктах. В рамках программы «Sber IoT Bug Bounty» на платформе BI.ZONE Bug предлагается найти потенциальные уязвимости в устройствах, входящих в фирменную экосистему умного дома Sber: колонках, приставках д ...
Яндекс заплатит до миллиона рублей за уязвимости в своих нейросетях Яндекс расширяет программу поиска уязвимостей и приглашает исследователей к участию в новом направлении «Охоты за ошибками», которое теперь охватывает генеративные нейросети. Впервые под прицел белых хакеров попадут модели YandexGPT, YandexART и вся инфраструктура, связанная с их работой. За выявлен ...
Уязвимости в беспроводных наушниках могут угрожать безопасности пользователей Инженер-аналитик Екатерина Едемская из компании «Газинформсервис» в беседе с «РИА Новости» предупредила о потенциальных угрозах, связанных с беспроводными наушниками. По её словам, уязвимости в Bluetooth и прошивке могут превратить наушники в инструменты для слежки, кражи данных ...
Эксперты: групповые чаты WhatsApp небезопасны из-за уязвимости в системе Исследователи выявили серьезную уязвимость в системе групповых чатов WhatsApp, которая может позволить серверу мессенджера добавлять новых участников без ведома остальных пользователей. Об этом сообщает SecurityLab в своем аналитическом материале. ...
Американское издание рассказало об уязвимости Японии при конфликте с Китаем Япония, важный союзник США в Тихоокеанском регионе, может оказаться слабым звеном в обороне Соединенных Штатов несмотря на значительные военно-морские силы, как сообщает 20 апреля The National Interest («Национальный интерес»).Издание отмечает, что Япония имеет репутацию «шпионского рая» из-за отсут ...
BI.Zone обнаружила уязвимости высокого уровня опасности в Vaultwarden BI.Zone обнаружила уязвимости высокого уровня опасности в Vaultwarden. Vaultwarden — это хранилище секретов с открытым исходным... ...
Две трети банковских приложений в российских магазинах содержат уязвимости Более 30% уязвимостей высокого и критического уровня. Это может привести к утечкам данных. Компания AppSec Solutions подвела... ...
Россиян предупредили об опасной уязвимости в десктопной версии WhatsApp В мессенджере WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в России) для Windows обнаружена уязвимость, позволяющая мошенникам отправлять пользователям вредоносное программное обеспечение (ПО). ...
«Ростех»: у изученного специалистами Leopard 2A6 выявлены уязвимости в защите Специалисты «Ростеха» после изучения выявили у подбитого в зоне спецоперации немецкого танка Leopard 2A6 уязвимости в защите. ...
"Ростех": У изученного специалистами Leopard 2 выявлены уязвимости в защите Танк можно ликвидировать, атаковав его с разных ракурсов беспилотниками с кумулятивной боевой частью и современными ПТРК ... ...
Уязвимости в GNOME Help и GIMP, позволяющие выполнить код при открытии файлов В просмотрщике Yelp, применяемом по умолчанию в GNOME для работы со справочными руководствами (GNOME Help), выявлена уязвимость (CVE-2025-3155), позволяющая выполнить произвольный JavaScript-код при открытии специально оформленных page-файлов. Выполнение подобных скриптов даёт возможность отправить ...
CPU AMD Zen 5 подвержены уязвимости, допускающей изменение микрокода и обход изоляции SEV-SNP Компания AMD включила процессоры на базе микроархитектуры Zen 5 в список продуктов, подверженных уязвимости EntrySign, позволяющей обойти механизм проверки цифровой подписи при обновлении микрокода. Изначально предполагалось, что уязвимость затрагивает только CPU AMD на базе 1-4 поколений микроархит ...
Уязвимости в Pagure и OBS, допускавшие компрометацию пакетов в репозиториях Fedora и openSUSE Исследователи безопасности из компании Fenrisk раскрыли информацию об уязвимостях в инструментариях Pagure и OBS (Open Build Service), позволявших скомпрометировать инфраструктуры формирования пакетов дистрибутивов Fedora и openSUSE. Исследователи продемонстрировали возможность совершения атаки для ...
PT ICS теперь выявляет уязвимости в ПЛК Siemens Simatic и Schneider Electric Modicon Платформа для защиты промышленности от киберугроз PT Industrial Cybersecurity Suite (PT ICS) получила новый пакет экспертизы. MaxPatrol... ...
Apple исправила две уязвимости, с помощью которых атаковали пользователей iPhone Компания Apple выпустила экстренные патчи для устранения двух уязвимостей нулевого дня. По информации компании, эти проблемы использовались в таргетированных и «чрезвычайно сложных атаках», нацеленных на владельцев iPhone. ...
Эксперт: Уязвимости в беспроводных наушниках могут превратить их в инструмент для слежки Уязвимости в беспроводных наушниках могут превратить их в инструмент для слежки, кражи данных и даже финансового мошенничества ...
Уязвимости в протоколе AirPlay могут вести к выполнению произвольного кода Множественные уязвимости в протоколе AirPlay, а также в AirPlay Protocol and AirPlay Software Development Kit (SDK) подвергают непропатченные устройства Apple и сторонние гаджеты и рискам различных атак, включая удаленное выполнение кода. ...
В отечественных приложениях заказа такси и оплаты штрафов нашли уязвимости Аналитики компании AppSec Solutions обнаружили 1818 уязвимостей в российских приложениях для заказа такси и оплаты штрафов ГИБДД Специалисты AppSec Solutions выявили 1818 уязвимостей в мобильных приложениях такси, каршеринга и аренды самокатов. Исследование проводилось на основе сервисов из App Stor ...
Эксперты нашли уязвимости почти во всех видеокартах Intel за последние 15 лет Специалисты обнаружили 10 новых уязвимостей в драйверах графики Intel, которые затрагивают почти все видеокарты компании, выпущенные за последние 15 лет. Проблемы касаются всех решений, начиная с 6-го поколения процессоров Core (Skylake) и заканчивая современными Iris Xe, Arc и Data Center GPU Flex ...
Уязвимости в процессорах Intel приводят к утечке данных из привилегированной памяти Специалисты Швейцарской высшей технической школы Цюриха (ETH Zurich) обнаружили проблему, которая угрожает всем современным процессорам Intel. Баг позволяет злоумышленникам извлекать конфиденциальные данные из памяти, выделенной привилегированным компонентам системы, например, ядру ОС. ...
Похищение данных из памяти — найдены новые уязвимости в процессорах Intel Исследователи обнаружили новую уязвимость в процессорах Intel, которая может привести к утечке конфиденциальных данных. Проблема получила название Branch Privilege Injection (BPI) и затрагивает все современные процессоры Intel. Уязвимость позволяет злоумышленникам использовать ошибку в системе предс ...
Google устранила две опасные уязвимости в Android, которые хакеры уже вовсю использовали Google выпустила экстренный патч для Android, устраняющий две уязвимости нулевого дня, которые, по данным компании, уже могут использоваться хакерами в реальных атаках. Атаки возможны благодаря повышению привилегий в устройствах и не требуют от пользователей каких-либо действий. ...
«Яндекс» заплатит миллион тому, кто найдет уязвимости в нейросетях YandexGPT и YandexART «Яндекс» ищет «белых хакеров», которые смогут найти технические уязвимости в семействах нейросетевых моделей YandexGPT, YandexART и сопутствующей ИТ-инфраструктуре. «Белым хакерам» предстоит выявлять технические ошибки, которые могут повлиять на результаты работы и процесс обучения нейросетевых моде ...
Эксперты «Нейроинформ» выявили топовые уязвимости в ритейле в I квартале 2025 года Эксперты компании «Нейроинформ», специализирующейся на анализе и оценке киберугроз, провели исследование уязвимостей... ...
Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие повысить привилегии в системе В применяемых различными дистрибутивами конфигурациях DHCP-сервера Kea, развиваемого консорциумом ISC в качестве замены классического ISC DHCP, выявлены уязвимости, в некоторых ситуациях позволяющие локальному пользователю выполнить код с правами root или перезаписать любой файл в системе. ...
Уязвимости в ingress-nginx, позволяющие выполнить код и захватить управление кластерами Kubernetes В развиваемом проектом Kubernetes ingress-контроллере ingress-nginx выявлены четыре уязвимости, позволяющие добиться выполнения своего кода на серверах облачных систем, использующих платформу Kubernete, и получить полный привилегированный доступ к кластеру Kubernete. Проблемам присвоен критический у ...
ECHOMSK.SPB.RU