Forwarded from Топ кибербезопасности Батранкова
Ошибка в кибербезе — это "лёгшая" сеть, удаление конфига или пропущенный фишинг.
Признайтесь честно, как у вас в компании есть право на ошибку?
Признайтесь честно, как у вас в компании есть право на ошибку?
Anonymous Poll
29%
Да, разбираем причины и идем дальше
6%
Только если цена ошибки копейки
4%
Нет, за любой косяк — штраф или публичная порка
7%
Ошибаюсь молча, чтобы никто не заметил
3%
Я сам босс я не даю никому право на ошибку
6%
Я сам босс и дают своим людям право на ошибку
44%
Посмотреть результаты
❤5
0day в Chrome: WebGPU стал точкой входа
В Chrome обнаружили уязвимость нулевого дня CVE-2026-5281, которую уже используют в реальных атаках. Проблема затрагивает компонент Dawn, через который реализован WebGPU и работа с графикой в браузере. Google выпустила обновление и не рекомендует откладывать установку.
Ошибка относится к классу use-after-free. В графическом стеке такие баги особенно неприятны из-за асинхронной работы с памятью и GPU. Если атакующий ловит момент между освобождением и повторным использованием объекта, браузер начинает обращаться к уже невалидной памяти. Дальше возможен выход из песочницы визуализатора и выполнение кода в системе, особенно в связке с другими уязвимостями.
Показателен сам вектор атаки. WebGPU — новый и сложный слой, где ещё не устоялись практики защиты. Интерес атакующих к таким компонентам растёт, и подобные уязвимости, к сожалению, будут появляться всё чаще.
#chrome #webgpu #0day #уязвимости
@ZerodayAlert
В Chrome обнаружили уязвимость нулевого дня CVE-2026-5281, которую уже используют в реальных атаках. Проблема затрагивает компонент Dawn, через который реализован WebGPU и работа с графикой в браузере. Google выпустила обновление и не рекомендует откладывать установку.
Ошибка относится к классу use-after-free. В графическом стеке такие баги особенно неприятны из-за асинхронной работы с памятью и GPU. Если атакующий ловит момент между освобождением и повторным использованием объекта, браузер начинает обращаться к уже невалидной памяти. Дальше возможен выход из песочницы визуализатора и выполнение кода в системе, особенно в связке с другими уязвимостями.
Показателен сам вектор атаки. WebGPU — новый и сложный слой, где ещё не устоялись практики защиты. Интерес атакующих к таким компонентам растёт, и подобные уязвимости, к сожалению, будут появляться всё чаще.
#chrome #webgpu #0day #уязвимости
@ZerodayAlert
SecurityLab.ru
Новый день — новый 0day: пользователям Chromium-браузеров сегодня лучше не открывать подозрительные сайты
Обычный переход по ссылке рискует обернуться полной потерей данных.
❤8😱4
Forwarded from SecurityLab.ru
Официальные отчёты не показывают реальную практику. Кибердом и Yandex Cloud запустили анонимный опрос, чтобы собрать честную картину — без маркетинга и без привязки к компаниям.
Участники смогут сравнить свои подходы с рынком после публикации результатов, а ещё получат промокод на форум «ИИ: режим доверия» 13 апреля в Кибердоме.
Все данные обрабатываются в обобщённом виде. Никаких утечек.
Please open Telegram to view this post
VIEW IN TELEGRAM
Обход авторизации в Control Web Panel — достаточно знать имя пользователя
В панели управления хостингом Control Web Panel обнаружена уязвимость CVE-2025-70951, позволяющая выполнять команды на сервере без аутентификации. Для атаки достаточно знать имя существующего пользователя — пароль и сессия не требуются.
Уязвимость выросла из предыдущей CVE-2025-48703: тогда разработчики закрыли опасный код в файловом менеджере, но не проверили модуль addons. Этот модуль по-прежнему принимал запросы без проверки подлинности, если в адресе указывалось корректное имя пользователя.
Атака строилась на том, что модуль addons не проверял содержимое параметра пути при установке дополнения. Злоумышленник встраивал в этот параметр произвольную команду, которую сервер затем выполнял через системную оболочку. Уязвимость подтверждена на версиях 0.9.8.1218, 0.9.8.1219 и 0.9.8.1222 и устранена в версии 0.9.8.1224, вышедшей в марте 2026 года.
#уязвимость #zeroday #хостинг #CWP
@ZerodayAlert
В панели управления хостингом Control Web Panel обнаружена уязвимость CVE-2025-70951, позволяющая выполнять команды на сервере без аутентификации. Для атаки достаточно знать имя существующего пользователя — пароль и сессия не требуются.
Уязвимость выросла из предыдущей CVE-2025-48703: тогда разработчики закрыли опасный код в файловом менеджере, но не проверили модуль addons. Этот модуль по-прежнему принимал запросы без проверки подлинности, если в адресе указывалось корректное имя пользователя.
Атака строилась на том, что модуль addons не проверял содержимое параметра пути при установке дополнения. Злоумышленник встраивал в этот параметр произвольную команду, которую сервер затем выполнял через системную оболочку. Уязвимость подтверждена на версиях 0.9.8.1218, 0.9.8.1219 и 0.9.8.1222 и устранена в версии 0.9.8.1224, вышедшей в марте 2026 года.
#уязвимость #zeroday #хостинг #CWP
@ZerodayAlert
SecurityLab.ru
Имя пользователя вместо пароля — и сервер открыт любому желающему. Так работает новая уязвимость Control Web Panel
В CWP нашли способ управлять системой без лишних сложностей с паролями.
❤3😱2
Критическая уязвимость в FortiClient EMS уже эксплуатируется
В FortiClient EMS обнаружена ошибка контроля доступа, позволяющая любому желающему без авторизации отправить специальный запрос на сервер. Это даёт атакующему возможность выполнять произвольные команды и полностью управлять системой удалённо.
Уязвимость затрагивает версии FortiClient EMS 7.4.5 и 7.4.6, тогда как более ранняя ветка 7.2 проблеме не подвержена. Fortinet подтвердила, что атаки с использованием этой бреши уже фиксируются в реальных условиях, однако детали сценариев пока не раскрываются.
Компания выпустила срочное исправление, которое полностью устраняет риск до выхода версии 7.4.7. В новой версии уязвимость будет закрыта по умолчанию, однако Fortinet настоятельно рекомендует не ждать и установить исправление прямо сейчас.
#fortinet #уязвимость #zeroday #патч
@ZerodayAlert
В FortiClient EMS обнаружена ошибка контроля доступа, позволяющая любому желающему без авторизации отправить специальный запрос на сервер. Это даёт атакующему возможность выполнять произвольные команды и полностью управлять системой удалённо.
Уязвимость затрагивает версии FortiClient EMS 7.4.5 и 7.4.6, тогда как более ранняя ветка 7.2 проблеме не подвержена. Fortinet подтвердила, что атаки с использованием этой бреши уже фиксируются в реальных условиях, однако детали сценариев пока не раскрываются.
Компания выпустила срочное исправление, которое полностью устраняет риск до выхода версии 7.4.7. В новой версии уязвимость будет закрыта по умолчанию, однако Fortinet настоятельно рекомендует не ждать и установить исправление прямо сейчас.
#fortinet #уязвимость #zeroday #патч
@ZerodayAlert
❤4😱4👍1
Нулевая уязвимость Windows опубликована на GitHub
В Windows обнаружили новую уязвимость повышения привилегий, а затем в сети появился и код для эксплуатации. Ситуацию обостряет не только отсутствие патча, но и сам контекст публикации: уязвимость сначала передали Microsoft через закрытый канал, а потом эксплойт оказался в открытом доступе на фоне конфликта вокруг процесса уведомления.
С технической точки зрения BlueHammer интересна не названием, а устройством. Речь не о «магическом взломе любой Windows», а о локальном повышении привилегий через ошибку класса TOCTOU и путаницу с путями. Даже если код работает нестабильно, сама схема атаки уже опасна: она открывает путь к получению прав SYSTEM или повышенного администратора, а затем и к извлечению хешей из SAM.
Для отрасли случай важен по другой причине. Когда рабочий код публикуют до выхода исправления, спор о раскрытии быстро превращается в практический риск для защитников. BlueHammer напоминает о простой вещи: самый опасный этап атаки часто начинается уже после первого проникновения.
#windows #bluehammer #github #кибербезопасность
@ZerodayAlert
В Windows обнаружили новую уязвимость повышения привилегий, а затем в сети появился и код для эксплуатации. Ситуацию обостряет не только отсутствие патча, но и сам контекст публикации: уязвимость сначала передали Microsoft через закрытый канал, а потом эксплойт оказался в открытом доступе на фоне конфликта вокруг процесса уведомления.
С технической точки зрения BlueHammer интересна не названием, а устройством. Речь не о «магическом взломе любой Windows», а о локальном повышении привилегий через ошибку класса TOCTOU и путаницу с путями. Даже если код работает нестабильно, сама схема атаки уже опасна: она открывает путь к получению прав SYSTEM или повышенного администратора, а затем и к извлечению хешей из SAM.
Для отрасли случай важен по другой причине. Когда рабочий код публикуют до выхода исправления, спор о раскрытии быстро превращается в практический риск для защитников. BlueHammer напоминает о простой вещи: самый опасный этап атаки часто начинается уже после первого проникновения.
#windows #bluehammer #github #кибербезопасность
@ZerodayAlert
👍7🔥4
Дыра в Ninja Forms дала доступ к тысячам сайтов WordPress
В популярном плагине Ninja Forms для WordPress нашли критическую уязвимость с идентификатором CVE-2026-0740. Ошибка позволяет загружать файлы на сервер без авторизации, а значит, атакующему не нужен ни аккаунт, ни пароль.
Однако проблема не в самой загрузке, а в том, что вместе с загруженным файлом можно прислать исполняемый код и заставить сервер его выполнить. Плагин проверяет содержимое, но не контролирует расширение и почти не очищает имя файла. В результате файл сохраняется как PHP-скрипт в доступной директории и сразу становится точкой входа.
Дальше всё быстро: доступ к серверу, работа с базой, внедрение вредоносного кода. Главная проблема — масштаб и простота атаки. Пока сайты не обновились, автоматические сканеры будут находить такие точки входа без особых усилий.
#ninjaforms #wordpress #cve #rce
@ZerodayAlert
В популярном плагине Ninja Forms для WordPress нашли критическую уязвимость с идентификатором CVE-2026-0740. Ошибка позволяет загружать файлы на сервер без авторизации, а значит, атакующему не нужен ни аккаунт, ни пароль.
Однако проблема не в самой загрузке, а в том, что вместе с загруженным файлом можно прислать исполняемый код и заставить сервер его выполнить. Плагин проверяет содержимое, но не контролирует расширение и почти не очищает имя файла. В результате файл сохраняется как PHP-скрипт в доступной директории и сразу становится точкой входа.
Дальше всё быстро: доступ к серверу, работа с базой, внедрение вредоносного кода. Главная проблема — масштаб и простота атаки. Пока сайты не обновились, автоматические сканеры будут находить такие точки входа без особых усилий.
#ninjaforms #wordpress #cve #rce
@ZerodayAlert
SecurityLab.ru
Так просто сайты ещё не взламывали. Популярный плагин обнулил безопасность огромного числа веб-ресурсов
Привычный рабочий инструмент внезапно стал верным помощником хакеров.
🔥10❤2💊2
Критическая уязвимость в платформе для ИИ-разработки Flowise уже атакуется
8 апреля система VulnCheck зафиксировала первые попытки эксплуатации CVE-2025-59528 в Flowise — популярной платформе для создания ИИ-решений. Уязвимость получила максимальную оценку 10 из 10 и позволяет внедрить произвольный JavaScript-код с его последующим выполнением на стороне сервера.
Проблема содержится в логике работы сервера CustomMCP и затрагивает сразу несколько версий платформы. В открытом доступе сейчас находится от 12 000 до 15 000 установок Flowise, при этом вся замеченная вредоносная активность исходит с одного IP-адреса, связанного со спутниковым интернетом Starlink.
Разработчики закрыли уязвимость в версии Flowise 3.0.6, однако далеко не все пользователи успели установить обновление. Помимо CVE-2025-59528, злоумышленники параллельно эксплуатируют ещё две уязвимости Flowise, ранее также внесённые в список активно используемых.
#flowise #уязвимость #ИИ #zeroday
@ZerodayAlert
8 апреля система VulnCheck зафиксировала первые попытки эксплуатации CVE-2025-59528 в Flowise — популярной платформе для создания ИИ-решений. Уязвимость получила максимальную оценку 10 из 10 и позволяет внедрить произвольный JavaScript-код с его последующим выполнением на стороне сервера.
Проблема содержится в логике работы сервера CustomMCP и затрагивает сразу несколько версий платформы. В открытом доступе сейчас находится от 12 000 до 15 000 установок Flowise, при этом вся замеченная вредоносная активность исходит с одного IP-адреса, связанного со спутниковым интернетом Starlink.
Разработчики закрыли уязвимость в версии Flowise 3.0.6, однако далеко не все пользователи успели установить обновление. Помимо CVE-2025-59528, злоумышленники параллельно эксплуатируют ещё две уязвимости Flowise, ранее также внесённые в список активно используемых.
#flowise #уязвимость #ИИ #zeroday
@ZerodayAlert
🥰2❤1👍1
Один хитрый суффикс в запросе — и все файлы сервера Vite открыты для атакующего
Специалисты SANS Internet Storm Center зафиксировали в ловушках характерные запросы, нацеленные на серверы Vite — популярного инструмента для создания веб-интерфейсов. Все запросы содержали путь с префиксом /@fs/ и суффиксом ??raw?, позволяющим обойти ограничения доступа к файловой системе сервера.
Цель атакующих — конфигурационные файлы и облачные секреты: ключи доступа, переменные окружения и учётные данные сервисов. Хотя сервер разработки Vite по умолчанию должен быть доступен только локально через порт 5173, на практике тысячи таких установок оказываются открыты в интернет.
В основе атак лежит уязвимость CVE-2025-30208, раскрытая ещё летом 2025 года. Добавление специального суффикса к запросу позволяет обойти ограничения встроенного механизма @fs и загрузить практически любой файл с сервера без каких-либо дополнительных привилегий.
#vite #разработка #утечкаданных #кибербезопасность
@ZerodayAlert
Специалисты SANS Internet Storm Center зафиксировали в ловушках характерные запросы, нацеленные на серверы Vite — популярного инструмента для создания веб-интерфейсов. Все запросы содержали путь с префиксом /@fs/ и суффиксом ??raw?, позволяющим обойти ограничения доступа к файловой системе сервера.
Цель атакующих — конфигурационные файлы и облачные секреты: ключи доступа, переменные окружения и учётные данные сервисов. Хотя сервер разработки Vite по умолчанию должен быть доступен только локально через порт 5173, на практике тысячи таких установок оказываются открыты в интернет.
В основе атак лежит уязвимость CVE-2025-30208, раскрытая ещё летом 2025 года. Добавление специального суффикса к запросу позволяет обойти ограничения встроенного механизма @fs и загрузить практически любой файл с сервера без каких-либо дополнительных привилегий.
#vite #разработка #утечкаданных #кибербезопасность
@ZerodayAlert
SecurityLab.ru
Зачем ломать, если есть @fs? Уязвимость в Vite показывает, как не надо настраивать сервер
Хакеры начали массово использовать уязвимость в инструменте Vite для кражи данных.
👍4🤔2❤1
В Adobe Reader обнаружили критическую уязвимость, которая запускается при открытии PDF
Исследователь безопасности Haifei Li обнаружил активно эксплуатируемую уязвимость в Adobe Reader. Атака запускается автоматически при открытии вредоносного PDF — никакого дополнительного взаимодействия от пользователя не требуется.
Вредоносный документ сначала собирает данные о системе жертвы, а затем подбирает подходящий способ взлома. Такой адаптивный подход позволяет обходить защитные механизмы и сохранять эффективность атаки на разных конфигурациях.
Атаки фиксируются как минимум с декабря: злоумышленники похищают данные и загружают дополнительные инструменты для взлома, а PDF-документы маскируют под деловую переписку с упоминанием нефтегазовой отрасли. Adobe уже уведомили о проблеме, однако патч пока не выпущен. До его появления рекомендуется не открывать PDF из непроверенных источников.
#adobereader #уязвимость #кибербезопасность #зловредныйpdf @ZerodayAlert
Исследователь безопасности Haifei Li обнаружил активно эксплуатируемую уязвимость в Adobe Reader. Атака запускается автоматически при открытии вредоносного PDF — никакого дополнительного взаимодействия от пользователя не требуется.
Вредоносный документ сначала собирает данные о системе жертвы, а затем подбирает подходящий способ взлома. Такой адаптивный подход позволяет обходить защитные механизмы и сохранять эффективность атаки на разных конфигурациях.
Атаки фиксируются как минимум с декабря: злоумышленники похищают данные и загружают дополнительные инструменты для взлома, а PDF-документы маскируют под деловую переписку с упоминанием нефтегазовой отрасли. Adobe уже уведомили о проблеме, однако патч пока не выпущен. До его появления рекомендуется не открывать PDF из непроверенных источников.
#adobereader #уязвимость #кибербезопасность #зловредныйpdf @ZerodayAlert
🤣11🤡5🤔2🌚2👀2
Нейросеть нашла уязвимость в nginx раньше людей
CVE-2026-27654 затрагивает nginx только при включённом модуле WebDAV и конфигурации с директивой alias. Из-за ошибки в расчёте длины пути сервер позволяет выйти за пределы изолированного каталога и обратиться к файлам, доступным процессу.
Claude первой зафиксировала переполнение буфера и воспроизвела сбой сервера — уязвимость считалась подтверждённой. Однако превратить падение в практичную атаку смогли только люди: они нашли способ копировать системные файлы через операцию COPY, используя двойные слэши в пути.
Патч вышел в версии 1.29.7 в марте 2026 года. В тот же день автоматическая система анализа изменений самостоятельно собрала рабочий пример атаки по опубликованному исправлению – времени на обновление у администраторов не осталось.
#nginx #уязвимость #ИИ #webdav
@ZerodayAlert
CVE-2026-27654 затрагивает nginx только при включённом модуле WebDAV и конфигурации с директивой alias. Из-за ошибки в расчёте длины пути сервер позволяет выйти за пределы изолированного каталога и обратиться к файлам, доступным процессу.
Claude первой зафиксировала переполнение буфера и воспроизвела сбой сервера — уязвимость считалась подтверждённой. Однако превратить падение в практичную атаку смогли только люди: они нашли способ копировать системные файлы через операцию COPY, используя двойные слэши в пути.
Патч вышел в версии 1.29.7 в марте 2026 года. В тот же день автоматическая система анализа изменений самостоятельно собрала рабочий пример атаки по опубликованному исправлению – времени на обновление у администраторов не осталось.
#nginx #уязвимость #ИИ #webdav
@ZerodayAlert
👏13👍3🥱3❤1😁1
CVSS 10.0, публичный PoC и 39% уязвимых хостов в Рунете. Что нужно знать об уязвимости CVE-2026-40175 в Axios
В Axios раскрыли критическую уязвимость CVE-2026-40175 с оценкой до 10.0 по CVSS. Проблема затрагивает версии ниже 1.15.0 и может привести к удалённому выполнению кода и компрометации облачной среды. По оценкам, в Рунете около 20 000 активных хостов, и примерно 39% из них используют потенциально уязвимые версии.
Атака строится как цепочка. Сначала происходит Prototype Pollution в зависимостях вроде qs, minimist или body-parser. Затем Axios наследует загрязнённые свойства и добавляет их в заголовки без проверки символов перевода строки, что позволяет внедрять заголовки, разделять HTTP-запросы и обращаться к AWS IMDS для получения IAM-токенов.
Для защиты рекомендуется обновить Axios до версии 1.15.0, провести аудит зависимостей на Prototype Pollution с помощью npm audit и SCA, ограничить доступ к 169.254.169.254 через Network Policies или Security Groups, а также настроить WAF для выявления попыток передачи proto и CRLF-инъекций на входе.
#кибербезопасность #уязвимости #NodeJS
@ZerodayAlert
В Axios раскрыли критическую уязвимость CVE-2026-40175 с оценкой до 10.0 по CVSS. Проблема затрагивает версии ниже 1.15.0 и может привести к удалённому выполнению кода и компрометации облачной среды. По оценкам, в Рунете около 20 000 активных хостов, и примерно 39% из них используют потенциально уязвимые версии.
Атака строится как цепочка. Сначала происходит Prototype Pollution в зависимостях вроде qs, minimist или body-parser. Затем Axios наследует загрязнённые свойства и добавляет их в заголовки без проверки символов перевода строки, что позволяет внедрять заголовки, разделять HTTP-запросы и обращаться к AWS IMDS для получения IAM-токенов.
Для защиты рекомендуется обновить Axios до версии 1.15.0, провести аудит зависимостей на Prototype Pollution с помощью npm audit и SCA, ограничить доступ к 169.254.169.254 через Network Policies или Security Groups, а также настроить WAF для выявления попыток передачи proto и CRLF-инъекций на входе.
#кибербезопасность #уязвимости #NodeJS
@ZerodayAlert
🥱3👍1
Один из самых масштабных вторников исправлений за всю историю Microsoft
Adobe закрыла 61 уязвимость в 12 продуктах, среди которых Acrobat Reader, Photoshop, Illustrator и ColdFusion. Одна из дыр в Acrobat Reader уже активно используется злоумышленниками, а обновление для ColdFusion получило наивысший приоритет срочности.
Microsoft устранила 163 уязвимости, а с учётом сторонних компонентов и Chromium общее число достигло 247 – это один из крупнейших выпусков за всю историю компании. Уязвимость CVE-2026-32201 в SharePoint Server уже применяется в реальных атаках, поэтому серверам с доступом из интернета обновление нужно в первую очередь.
Два исправления касаются уязвимостей с потенциалом самораспространения. Одна в сетевом стеке Windows позволяет выполнить код удалённо без авторизации и участия пользователя. Вторая затрагивает протокол IKE – частично закрыть риск помогает блокировка UDP-портов 500 и 4500, однако внутри сети угроза сохраняется.
#patchtuesday #уязвимости #adobe #microsoft
@ZerodayAlert
Adobe закрыла 61 уязвимость в 12 продуктах, среди которых Acrobat Reader, Photoshop, Illustrator и ColdFusion. Одна из дыр в Acrobat Reader уже активно используется злоумышленниками, а обновление для ColdFusion получило наивысший приоритет срочности.
Microsoft устранила 163 уязвимости, а с учётом сторонних компонентов и Chromium общее число достигло 247 – это один из крупнейших выпусков за всю историю компании. Уязвимость CVE-2026-32201 в SharePoint Server уже применяется в реальных атаках, поэтому серверам с доступом из интернета обновление нужно в первую очередь.
Два исправления касаются уязвимостей с потенциалом самораспространения. Одна в сетевом стеке Windows позволяет выполнить код удалённо без авторизации и участия пользователя. Вторая затрагивает протокол IKE – частично закрыть риск помогает блокировка UDP-портов 500 и 4500, однако внутри сети угроза сохраняется.
#patchtuesday #уязвимости #adobe #microsoft
@ZerodayAlert
🤯10❤3😁1
Шпионское ПО Predator обходит защиту Apple, используя её же собственный код
Специалисты разобрали новые образцы Predator и обнаружили механизм, который читает и записывает данные напрямую в память ядра iOS. Для этого шпионское ПО нестандартно использует часть процессора, предназначенную для параллельных вычислений, превращая их в скрытый канал передачи данных.
Чтобы обойти защиту Apple, Predator не создаёт собственный механизм подписи, а находит нужный фрагмент кода внутри системного компонента. Заранее подготовленная таблица из 256 подписанных указателей позволяет подделывать адреса практически мгновенно, без криптографических вычислений в момент атаки.
Predator поддерживает 21 модель iPhone — от XS до 14 Pro Max — и для каждой группы устройств хранит точные смещения в структурах ядра. Атака рассчитана на iOS ниже версии 17: в более новых системах Apple изменила архитектуру управления памятью, что существенно усложняет применение этих техник.
#Apple #predator #ios #кибершпионаж
@ZerodayAlert
Специалисты разобрали новые образцы Predator и обнаружили механизм, который читает и записывает данные напрямую в память ядра iOS. Для этого шпионское ПО нестандартно использует часть процессора, предназначенную для параллельных вычислений, превращая их в скрытый канал передачи данных.
Чтобы обойти защиту Apple, Predator не создаёт собственный механизм подписи, а находит нужный фрагмент кода внутри системного компонента. Заранее подготовленная таблица из 256 подписанных указателей позволяет подделывать адреса практически мгновенно, без криптографических вычислений в момент атаки.
Predator поддерживает 21 модель iPhone — от XS до 14 Pro Max — и для каждой группы устройств хранит точные смещения в структурах ядра. Атака рассчитана на iOS ниже версии 17: в более новых системах Apple изменила архитектуру управления памятью, что существенно усложняет применение этих техник.
#Apple #predator #ios #кибершпионаж
@ZerodayAlert
🤯5👍4😁1
В Composer нашли две опасные уязвимости
В менеджере зависимостей Composer обнаружили две уязвимости, которые могли привести к выполнению произвольных команд на машине пользователя. История неприятная не только из-за самого класса ошибок, но и из-за охвата: проблемы нашли в коде, связанном с Perforce, однако под ударом оказались не только пользователи Perforce, но и обычные установки Composer.
Обе уязвимости упирались в небезопасную сборку shell-команд из внешних значений. Один сценарий требовал недоверенного корневого composer.json или конфигурации, второй выглядел шире и опаснее, потому что открывал путь через метаданные пакета из недоверенного репозитория при установке в режиме prefer-source. Для менеджера зависимостей такой сбой особенно чувствителен: компрометация происходит не через экзотический модуль, а через привычный процесс установки и обновления пакетов.
Хорошая новость в том, что патч уже вышел. Плохая в том, что подобные находки всегда бьют по базовому доверию к цепочке поставки, а не по какому-то одному редкому сценарию. Поэтому реакция здесь должна быть простой и быстрой: обновить Composer и убрать лишнее доверие к чужим репозиториям и проектам.
#composer #php #supplychain #уязвимости
@ZerodayAlert
В менеджере зависимостей Composer обнаружили две уязвимости, которые могли привести к выполнению произвольных команд на машине пользователя. История неприятная не только из-за самого класса ошибок, но и из-за охвата: проблемы нашли в коде, связанном с Perforce, однако под ударом оказались не только пользователи Perforce, но и обычные установки Composer.
Обе уязвимости упирались в небезопасную сборку shell-команд из внешних значений. Один сценарий требовал недоверенного корневого composer.json или конфигурации, второй выглядел шире и опаснее, потому что открывал путь через метаданные пакета из недоверенного репозитория при установке в режиме prefer-source. Для менеджера зависимостей такой сбой особенно чувствителен: компрометация происходит не через экзотический модуль, а через привычный процесс установки и обновления пакетов.
Хорошая новость в том, что патч уже вышел. Плохая в том, что подобные находки всегда бьют по базовому доверию к цепочке поставки, а не по какому-то одному редкому сценарию. Поэтому реакция здесь должна быть простой и быстрой: обновить Composer и убрать лишнее доверие к чужим репозиториям и проектам.
#composer #php #supplychain #уязвимости
@ZerodayAlert
👍2❤1
17-летняя уязвимость в Excel снова используется в атаках
CISA подтвердила активную эксплуатацию уязвимости CVE-2009-0238 в Excel с оценкой CVSS 9.3. Ведомство добавило её в каталог известных эксплуатируемых уязвимостей и дало федеральным агентствам две недели на установку обновлений – на неделю меньше стандартного срока.
Для атаки достаточно убедить пользователя открыть специально подготовленный файл Excel с повреждённым объектом. Это открывает возможность выполнения произвольного кода на машине жертвы с полным набором прав атакующего.
Одновременно в каталог добавили CVE-2026-32201 в Microsoft SharePoint, которую закрыли лишь в апрельском обновлении. До выхода патча она уже использовалась как уязвимость нулевого дня и позволяла подменять данные при передаче по сети, в том числе в фишинговых схемах внутри корпоративной среды.
#microsoft #excel #уязвимость #zeroday
@ZerodayAlert
CISA подтвердила активную эксплуатацию уязвимости CVE-2009-0238 в Excel с оценкой CVSS 9.3. Ведомство добавило её в каталог известных эксплуатируемых уязвимостей и дало федеральным агентствам две недели на установку обновлений – на неделю меньше стандартного срока.
Для атаки достаточно убедить пользователя открыть специально подготовленный файл Excel с повреждённым объектом. Это открывает возможность выполнения произвольного кода на машине жертвы с полным набором прав атакующего.
Одновременно в каталог добавили CVE-2026-32201 в Microsoft SharePoint, которую закрыли лишь в апрельском обновлении. До выхода патча она уже использовалась как уязвимость нулевого дня и позволяла подменять данные при передаче по сети, в том числе в фишинговых схемах внутри корпоративной среды.
#microsoft #excel #уязвимость #zeroday
@ZerodayAlert
🤔6👀1
Один запрос без пароля — и сервер под чужим контролем: уязвимость в nginx-ui
В nginx-ui выявлена уязвимость CVE-2026-33032 (оценка по CVSS 9.8). Один из служебных адресов панели принимает команды без какой-либо проверки прав. Через него доступны операции, напрямую управляющие сервером: перезапуск Nginx, изменение и удаление конфигурационных файлов, применение изменений.
Разработчики выпустили исправление в версии 2.3.4 уже 15 марта, спустя сутки после сообщения об уязвимости. К концу месяца в открытый доступ попали технические детали и демонстрационный код атаки, после чего зафиксированы реальные инциденты.
Проект насчитывает более 11 000 звёзд на GitHub, а образы контейнеров скачали свыше 430 000 раз. Сейчас в сети доступно около 2 600 уязвимых установок. Среди наиболее затронутых стран Китай, США, Германия и Индонезия. Актуальная безопасная версия 2.3.6.
#nginx #уязвимость #GitHub #контроль
@ZerodayAlert
В nginx-ui выявлена уязвимость CVE-2026-33032 (оценка по CVSS 9.8). Один из служебных адресов панели принимает команды без какой-либо проверки прав. Через него доступны операции, напрямую управляющие сервером: перезапуск Nginx, изменение и удаление конфигурационных файлов, применение изменений.
Разработчики выпустили исправление в версии 2.3.4 уже 15 марта, спустя сутки после сообщения об уязвимости. К концу месяца в открытый доступ попали технические детали и демонстрационный код атаки, после чего зафиксированы реальные инциденты.
Проект насчитывает более 11 000 звёзд на GitHub, а образы контейнеров скачали свыше 430 000 раз. Сейчас в сети доступно около 2 600 уязвимых установок. Среди наиболее затронутых стран Китай, США, Германия и Индонезия. Актуальная безопасная версия 2.3.6.
#nginx #уязвимость #GitHub #контроль
@ZerodayAlert
👀2
Встроенный антивирус Windows оказался инструментом повышения привилегий
Исследователь под псевдонимом Chaotic Eclipse опубликовал рабочий эксплойт RedSun для 0Day в Microsoft Defender. Атака позволяет получить права SYSTEM и работает на Windows 10, Windows 11 и Windows Server даже с последними обновлениями.
Уязвимость связана с тем, как Защитник Windows обрабатывает файлы с облачной меткой. При определённых условиях антивирус сам перезаписывает обнаруженный файл на диск. Эксплойт использует это поведение, чтобы подменить системный файл в папке system32 и запустить вредоносный код с правами SYSTEM.
Это уже второй подобный инструмент от того же автора: неделю назад он выпустил BlueHammer, который уже исправлен. Оба эксплойта исследователь опубликовал намеренно — в знак протеста против, по его словам, неудовлетворительного взаимодействия с командой Microsoft MSRC.
#антивирус #zeroday #контроль #эксплойт
@ZerodayAlert
Исследователь под псевдонимом Chaotic Eclipse опубликовал рабочий эксплойт RedSun для 0Day в Microsoft Defender. Атака позволяет получить права SYSTEM и работает на Windows 10, Windows 11 и Windows Server даже с последними обновлениями.
Уязвимость связана с тем, как Защитник Windows обрабатывает файлы с облачной меткой. При определённых условиях антивирус сам перезаписывает обнаруженный файл на диск. Эксплойт использует это поведение, чтобы подменить системный файл в папке system32 и запустить вредоносный код с правами SYSTEM.
Это уже второй подобный инструмент от того же автора: неделю назад он выпустил BlueHammer, который уже исправлен. Оба эксплойта исследователь опубликовал намеренно — в знак протеста против, по его словам, неудовлетворительного взаимодействия с командой Microsoft MSRC.
#антивирус #zeroday #контроль #эксплойт
@ZerodayAlert
👍17😁5🔥4🤣4
Специалисты взломали защиту виртуальных машин AMD без физического доступа
Атака FABRICKED обходит защиту AMD SEV-SNP — технологию, которая изолирует данные клиентов в облаке. Для этого достаточно контроля над гипервизором или прошивкой сервера. При этом физический доступ не нужен.
Атака нарушает работу таблицы RMP, которая следит за тем, кто и к какой памяти может обращаться. Из-за этого гипервизор получает доступ к памяти виртуальной машины, хотя по правилам не должен его иметь.
Кроме того, злоумышленник может подделать отчёт проверки безопасности системы. Пользователь будет думать, что работает в защищённой среде, хотя на деле она уже под контролем атакующего. AMD подтвердила уязвимость, она получила идентификатор CVE-2025-54510.
#amd #sevsnp #облако #защита
@ZerodayAlert
Атака FABRICKED обходит защиту AMD SEV-SNP — технологию, которая изолирует данные клиентов в облаке. Для этого достаточно контроля над гипервизором или прошивкой сервера. При этом физический доступ не нужен.
Атака нарушает работу таблицы RMP, которая следит за тем, кто и к какой памяти может обращаться. Из-за этого гипервизор получает доступ к памяти виртуальной машины, хотя по правилам не должен его иметь.
Кроме того, злоумышленник может подделать отчёт проверки безопасности системы. Пользователь будет думать, что работает в защищённой среде, хотя на деле она уже под контролем атакующего. AMD подтвердила уязвимость, она получила идентификатор CVE-2025-54510.
#amd #sevsnp #облако #защита
@ZerodayAlert
👍3🥰1
Три уязвимости нулевого дня в Защитнике Windows эксплуатируются хакерами
Исследователь под псевдонимом Nightmare-Eclipse опубликовал три уязвимости в Microsoft Defender вместе с рабочими эксплойтами. BlueHammer и RedSun позволяют повысить привилегии до уровня SYSTEM, а UnDefend даёт возможность заблокировать обновления антивирусных баз.
Специалисты зафиксировали реальные атаки с применением всех трёх эксплойтов. BlueHammer начали использовать уже с 10 апреля. На одном из взломанных компьютеров атака велась вручную: злоумышленник проник через скомпрометированный SSLVPN-аккаунт и управлял действиями напрямую.
BlueHammer получила идентификатор CVE-2026-33825 и закрыта в апрельских обновлениях. RedSun и UnDefend по-прежнему без исправлений. RedSun работает на Windows 10, 11 и Server 2019 и новее при включённом Защитнике.
#антивирус #zeroday #привилегии #microsoft
@ZerodayAlert
Исследователь под псевдонимом Nightmare-Eclipse опубликовал три уязвимости в Microsoft Defender вместе с рабочими эксплойтами. BlueHammer и RedSun позволяют повысить привилегии до уровня SYSTEM, а UnDefend даёт возможность заблокировать обновления антивирусных баз.
Специалисты зафиксировали реальные атаки с применением всех трёх эксплойтов. BlueHammer начали использовать уже с 10 апреля. На одном из взломанных компьютеров атака велась вручную: злоумышленник проник через скомпрометированный SSLVPN-аккаунт и управлял действиями напрямую.
BlueHammer получила идентификатор CVE-2026-33825 и закрыта в апрельских обновлениях. RedSun и UnDefend по-прежнему без исправлений. RedSun работает на Windows 10, 11 и Server 2019 и новее при включённом Защитнике.
#антивирус #zeroday #привилегии #microsoft
@ZerodayAlert
👀12❤2