·	08.02.2026	AI-модель Claude Opus 4.6 выявила более 500 ранее неизвестных уязвимостей (267 +29)
	Компания Anthropic объявила о расширении в AI-модели Claude Opus 4.6 возможностей по поиску уязвимостей в коде и поделилась результатами эксперимента, в ходе которого выявлено более 500 ранее неизвестных (0-day) уязвимостей в последних версиях различных открытых проектов. Работа была сфокусирована на поиске уязвимостей, вызванных проблемами при работе с памятью, так как их наличие проще проверить. Всем выявленным уязвимостям присвоен высокий уровень опасности. Каждая уязвимость была вручную проверена и подтверждена сотрудниками Anthropic или привлечёнными внешними исследователями безопасности... (267 +29) обсуждение | весь текст
·	05.02.2026	Nginx 1.29.5 с устранением уязвимости. Атаки, меняющие настройки nginx для перенаправления трафика (17 +11)
	Сформирован выпуск основной ветки nginx 1.29.5, в рамках которой продолжается развитие новых возможностей, а также выпуск параллельно поддерживаемой стабильной ветки nginx 1.28.2, в которую вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В обновлениях устранена уязвимость (CVE-2026-1642), позволяющая атакующему, имеющему возможность вклиниться (MITM) в канал связи между nginx и upstream-сервером, подставить отправляемые клиенту ответы. Проблема затрагивает конфигурации, проксирующие запросы (HTTP 1.x, HTTP/2, gRPC или uWSGI) к вышестоящему серверу с использованием TLS-шифрования... (17 +11) обсуждение | весь текст
·	02.02.2026	Атака на проект Notepad++, приведшая к выборочной подмене обновлений (129 +24)
	Разработчики Notepad++, открытого редактора кода для платформы Windows, опубликовали разбор инцидента, в результате которого была скомпрометирована сетевая инфраструктура провайдера и некоторые пользователи Notepad++ получили подменённые исполняемые файлы, загружаемые с использованием системы автоматической доставки обновлений WinGUp... (129 +24) обсуждение | весь текст
·	01.02.2026	Атакующим удалось добавить незамеченный вредоносный код в репозиторий Plone (42 +15)
	Разработчики свободной системы управления контентом Plone, написанной на Python и JavaScript/NodeJS, объявили об инциденте, в результате которого в git-репозиторий проекта на GitHub был добавлен вредоносный код. Изначально в репозитории были выявлены три появившихся 7 января изменения (1, 2, 3), добавляющие вредоносный код в JavaScript-файлы проекта (1, 2, 3). Разбор инцидента показал, что интеграция вредоносного кода была произведена в результате компрометации учётной записи одного из разработчиков, токен доступа которого был захвачен злоумышленниками после запуска вредоносного ПО в его системе... (42 +15) обсуждение | весь текст
·	23.01.2026	Проект Singularity развивает открытый руткит, обходящий SELinux, Netfilter, LKRG и eBPF (100 +37)
	Матеус Алвес (Matheus Alves), исследователь безопасности, специализирующийся на вредоносном ПО, опубликовал обновление проекта Singularity, развивающего открытый руткит для ядра Linux, распространяемый под лицензией MIT. Целью проекта является демонстрация методов, позволяющих скрыть своё присутствие после получения root-доступа и сохранить возможность скрытого выполнения привилегированных операций. Предполагается, что Singularity может быть полезен исследователям безопасности для тестирования и разработки утилит обнаружения и блокирования руткитов... (100 +37) обсуждение | весь текст
·	23.01.2026	На соревновании Pwn2Own Automotive 2026 продемонстрировано 76 уязвимостей автомобильных систем (118 +13)
	Подведены итоги трёх дней соревнований Pwn2Own Automotive 2026, проведённых на конференции Automotive World в Токио. На соревнованиях были продемонстрированы 76 ранее неизвестных уязвимостей (0-day) в автомобильных информационно-развлекательных платформах, операционных системах и устройствах зарядки электромобилей. При проведении атак использовались самые свежие прошивки и операционные системы со всеми доступными обновлениями и в конфигурации по умолчанию... (118 +13) обсуждение | весь текст
·	22.01.2026	Уязвимость в GitLab, позволяющая обойти двухфакторную аутентификацию (22 +12)
	Опубликованы корректирующие обновления платформы для организации совместной разработки GitLab - 18.8.2, 18.7.2, 18.6.4, в которых устранена уязвимость (CVE-2026-0723), позволяющая обойти проверку при двухфакторной аутентификации. Для совершения атаки злоумышленник должен знать идентификатор учётных данных жертвы. Уязвимость вызвана отсутствием должной проверки возвращаемого значения в сервисах аутентификации... (22 +12) обсуждение | весь текст
·	20.01.2026	Уязвимость в telnetd, позволяющая подключиться с правами root без аутентификации (109 +46)
	В сервере telnetd из набора GNU InetUtils выявлена уязвимость, позволяющая подключиться под любым пользователем, включая пользователя root, без проверки пароля. CVE-идентификатор пока не присвоен. Уязвимость проявляется начиная с версии InetUtils 1.9.3 (2015 год) и остаётся неисправленной в актуальном выпуске 2.7.0. Исправление доступно в форме патчей (1, 2)... (109 +46) обсуждение | весь текст
·	19.01.2026	Захват контроля над snap-пакетами, связанными с просроченными доменами (83 +24)
	Алан Поуп (Alan Pope), бывший менеджер по инжинирингу и взаимодействию с сообществом в компании Canonical, обратил внимание на новую волну атак на пользователей каталога приложений Snap Store. Вместо регистрации новых учётных записей злоумышленники начали выкупать просроченные домены, фигурирующие в email зарегистрированных разработчиков snap-пакетов. После перекупки домена злоумышленники перенаправляют почтовый трафик на свой сервер и, получив контроль над email, инициируют процесс восстановления забытого пароля для доступа к учётной записи... (83 +24) обсуждение | весь текст
·	17.01.2026	Уязвимость в Android-прошивке Pixel 9, позволяющая выполнить код через отправку сообщения (163 +45)
	Исследователи из команды Google Project Zero подробно разобрали технику создания рабочего эксплоита для Android-прошивки смартфонов Pixel 9, позволяющего удалённо выполнить свой код с правами ядра Linux, через отправку SMS- или RCS-сообщения со специально оформленным звуковым вложением. Атака осуществляется без выполнения каких-либо действий пользователем, в том числе не требует просмотра или прослушивания полученного сообщения... (163 +45) обсуждение | весь текст
·	06.01.2026	Утечка BootROM-ключей Sony Playstation 5 (117 +79)
	В открытый доступ попал набор данных, в котором были найдены BootROM-ключи для игровой приставки Sony Playstation 5, применяемые для расшифровки и верификации начального загрузчика. При помощи данных ключей можно сформировать изменённый загрузчик, успешно проходящий верификацию, и применить его для запуска модифицированного варианта прошивки или загрузки Linux-дистрибутива вместо штатной прошивки. Ключи также могут способствовать разработке эмуляторов и обходу защиты от запуска пиратских копий игр... (117 +79) обсуждение | весь текст
·	05.01.2026	В GNU Wget2 2.2.1 устранена уязвимость, допускающая перезапись произвольных файлов (76 +13)
	Доступен выпуск проекта GNU Wget2 2.2.1, развивающего переписанный с нуля и полностью переработанный вариант программы для автоматизации рекурсивной загрузки контента GNU Wget. Wget2 предоставляет набор дополнительных опций, поддерживает загрузку в несколько потоков, позволяет использовать доступную функциональность через библиотеку libwget, поддерживает протоколы HTTP/2 и TLS 1.3, даёт возможность загружать только изменившиеся данные, может сохранять данные с серверов потокового вещания, корректно обрабатывает интернационализированные доменные имена и может перекодировать загружаемое содержимое. Утилита wget2 поставляется под лицензией GPLv3+, а библиотека под LGPLv3+... (76 +13) обсуждение | весь текст
·	03.01.2026	В RustFS выявлен предопределённый в коде токен доступа (139 +54)
	В проекте RustFS, развивающем совместимое с S3 распределённое объектное хранилище, написанное на языке Rust, выявлена уязвимость (CVE-2025-68926), напоминающая бэкдор. Проблема вызвана наличием жёстко прошитого в коде токена доступа, позволяющего подключиться к сетевому сервису по протоколу gRPC, указав в заголовке "authorization" значение "rustfs rpc". Токен присутствовал в коде сервера и клиента. Проблеме присвоен критический уровень опасности (9.8 из 10)... (139 +54) обсуждение | весь текст
·	03.01.2026	Продемонстрировано несколько способов обхода изоляции FreeBSD jail (75 +18)
	На конференции 39C3 (Chaos Communication Congress) представлен доклад с результатами исследования защищённости механизма FreeBSD jail. Авторам исследования удалось выйти за пределы Jail и скомпрометировать хост, при условии, что у атакующего есть root-права внутри Jail. На GitHub опубликован код 5 прототипов эксплоитов, использующих для выхода из Jail уязвимости в ipfilter, dummynet, carp и ipfw, проявляющиеся во FreeBSD 14.3-RELEASE. Всего в ходе исследования выявлено около 50 проблем с безопасностью в ядре FreeBSD, для части из которых подготовлены патчи с исправлениями... (75 +18) обсуждение | весь текст
·	30.12.2025	Уязвимость в Net-SNMP, допускающая удалённое выполнение кода (48 +13) ↻
	В пакете Net-SNMP, реализующем протоколы SNMP v1, SNMP v2c и SNMP v3, выявлена уязвимость (CVE-2025-68615), позволяющая добиться удалённого выполнения кода на сервере, использующем сервис snmptrapd для приёма и обработки trap-сообщений от устройств. По умолчанию сервис принимает запросы на 162 UDP-порту и запускается с правами root. Проблеме присвоен критический уровень опасности (9.8 из 10). Атака может быть совершена без прохождения аутентификации... (48 +13) ↻ обсуждение | весь текст
<< Предыдущая страница (позже)
Следующая страница (раньше) >>