От ошибки до катастрофы: преувеличение опасности в мире CVE

🤔 Фёдор Индутный, автор платформы Io.js (форк Node.js) и член технического комитета по разработке Node.js, высказал опасения относительно назначения CVE-идентификаторов для ложных отчетов об уязвимостях, не соответствующих реальной угрозе.

🛠 Присвоение идентификаторов происходит без адекватной проверки, в результате чего проекты сталкиваются с незаслуженной критикой и нагрузкой.

📉 В недавнем случае с библиотекой node-ip ложное присвоение CVE-идентификатора привело к уменьшению её популярности и к увеличению количества обращений к разработчикам, создав дополнительные трудности для команды.

#CVE #NodeJS #Уязвимости @SecLabNews

🔒Игры Unity с 2017 года уязвимы для вредоносного кода

Исследователь RyotaK из GMA Flatt Security обнаружил уязвимость в игровом движке Unity под идентификатором CVE-2025-59489. Суть проблемы в том, что приложение на том же устройстве (например, Android или ПК) может подменить параметры командной строки при запуске Unity-игры, что открывает путь для загрузки вредоносного кода. Фактически, почти все игры, созданные на версиях Unity Editor с 2017.1 и позднее, потенциально уязвимы, что формирует огромную поверхность атаки. Уязвимость признана относительно простой в эксплуатации.

Проблема кроется в поведении Unity Editor, который до недавнего времени создавал уязвимые сборки. Unity уже выпустила исправление, но для защиты пользователей требуется массовая перекомпиляция всех затронутых проектов. Из-за масштабов инсталляций движка процесс устранения «дыр» может занять длительное время. Разработчикам необходимо срочно обновить свои проекты, чтобы защитить свои сообщества.

Платформы оперативно отреагировали: Valve ограничила запуск игр в Steam с опасными параметрами. Microsoft предупредила о риске для Windows-версий и рекомендовала удалять уязвимые игры до получения патчей. Пользователям ПК следует быть осторожными и следить за обновлениями.

#Unity3D #CVE_2025_59489 #GameDev
@SecLabnews

🚰 Четыре CVE в прошивках UEFI: окно для DMA-атаки до загрузки ОС

Исследователи из Riot Games обнаружили уязвимость в реализации UEFI-прошивок у крупнейших производителей материнских плат. Проблема (CVE-2025-11901, CVE-2025-14302, CVE-2025-14303, CVE-2025-14304) связана с некорректной инициализацией IOMMU — механизма, который должен защищать оперативную память от несанкционированного доступа со стороны периферийных устройств. Прошивка сообщает о включённой защите от DMA-атак, хотя на деле память остаётся открытой.

Для эксплуатации требуется физический доступ: злоумышленник может подключить вредоносное PCIe-устройство до завершения загрузки и получить полный контроль над содержимым RAM — читать и модифицировать данные без ограничений. Это позволяет внедрять зловреды ещё до запуска ОС и любых защитных механизмов.

Производители уже выпускают обновления прошивок — пользователям рекомендуется проверить наличие патчей для своих плат. Riot Games со своей стороны обновила античит Vanguard: теперь Valorant просто не запускается на уязвимых системах, выводя уведомление VAN:Restriction.

#UEFI #DMA #CVE

SecurityLab в Telegram | MAX | Поддержите нас «бустами»