Новая уязвимость нулевого дня затронула весь пакет Microsoft Office
⚠️ Уязвимость получила идентификатор CVE-2026-21509 и активно эксплуатируется в реальных атаках. Проблема затрагивает все основные версии: Office 2016, 2019, LTSC 2021, LTSC 2024 и Microsoft 365 Apps for Enterprise.
🔄 Пользователи Office 2021 и более новых версий получат защиту автоматически после перезапуска приложений. Для владельцев Office 2016 и 2019 патчи пока недоступны и будут выпущены позднее.
🛡 Microsoft предложила временные меры защиты через изменения в реестре Windows для старых версий Office. Суть уязвимости заключается в обходе защитных механизмов COM и OLE, атака активируется при открытии вредоносного документа пользователем.
#microsoft #office #уязвимость #zeroday
@ZerodayAlert
⚠️ Уязвимость получила идентификатор CVE-2026-21509 и активно эксплуатируется в реальных атаках. Проблема затрагивает все основные версии: Office 2016, 2019, LTSC 2021, LTSC 2024 и Microsoft 365 Apps for Enterprise.
🔄 Пользователи Office 2021 и более новых версий получат защиту автоматически после перезапуска приложений. Для владельцев Office 2016 и 2019 патчи пока недоступны и будут выпущены позднее.
🛡 Microsoft предложила временные меры защиты через изменения в реестре Windows для старых версий Office. Суть уязвимости заключается в обходе защитных механизмов COM и OLE, атака активируется при открытии вредоносного документа пользователем.
#microsoft #office #уязвимость #zeroday
@ZerodayAlert
SecurityLab.ru
Один файл + один клик = ODay в MS Office. Microsoft принимает меры против эксплуатируемой уязвимости
Корпорация предупредила об угрозе взлома через вредоносные документы Office.
❤11🔥8🌚4👍1🥰1
Command & Conquer: Generals — под прицелом сетевого червя
🕹 Брайан Александер и Джордан Уайтхед обнаружили критические уязвимости в классике 2003 года. После публикации исходного кода игры в 2025 году они создали червя, который распространяется между игроками в сетевых матчах. Старая архитектура P2P без аутентификации и современной защиты (ASLR) превратила Generals в опасную площадку для удаленного выполнения кода.
💻 Исследователи выделили три проблемы: переполнение стека, возможность записи вредоносных DLL и ошибки фрагментации пакетов. Это позволяет захватить контроль над ПК жертвы или манипулировать игрой (например, заставить «продать все здания»). Простейшее XOR-шифрование и статические адреса модулей не стали помехой для захвата процесса.
🚫 Компания EA Games отказалась выпускать исправления, так как игра официально признана устаревшей и давно снята с поддержки. Всю работу по защите взяли на себя фанаты из сообщества GeneralsGameCode — они уже выпустили необходимые патчи. Всем игрокам советуем обновиться, так как исходники вируса уже выложены в открытый доступ и риск взлома стал реальным.
#Generals #Вирусы #Безопасность
@ZerodayAlert
🕹 Брайан Александер и Джордан Уайтхед обнаружили критические уязвимости в классике 2003 года. После публикации исходного кода игры в 2025 году они создали червя, который распространяется между игроками в сетевых матчах. Старая архитектура P2P без аутентификации и современной защиты (ASLR) превратила Generals в опасную площадку для удаленного выполнения кода.
💻 Исследователи выделили три проблемы: переполнение стека, возможность записи вредоносных DLL и ошибки фрагментации пакетов. Это позволяет захватить контроль над ПК жертвы или манипулировать игрой (например, заставить «продать все здания»). Простейшее XOR-шифрование и статические адреса модулей не стали помехой для захвата процесса.
🚫 Компания EA Games отказалась выпускать исправления, так как игра официально признана устаревшей и давно снята с поддержки. Всю работу по защите взяли на себя фанаты из сообщества GeneralsGameCode — они уже выпустили необходимые патчи. Всем игрокам советуем обновиться, так как исходники вируса уже выложены в открытый доступ и риск взлома стал реальным.
#Generals #Вирусы #Безопасность
@ZerodayAlert
SecurityLab.ru
Ваши здания проданы, а Windows взломана. Добро пожаловать в сетевой режим C&C образца 2025 года
В игре Command & Conquer: Generals обнаружили критические уязвимости, позволяющие захватить компьютер.
😭7❤4👍3🔥1
Дыра в Apache bRPC: 9.8 по шкале CVSS и выполнение команд на сервере
🔍Исследователи обнаружили дыру в популярном C++ фреймворке Apache bRPC (CVE-2025-60021). Ошибка получила максимальный балл 9.8 по шкале CVSS. Проблема кроется в механизме профилирования кучи: из-за отсутствия фильтрации параметра extra_options атакующий может внедрить свои команды и удаленно выполнить произвольный код (RCE) с правами сервиса.
🤖 Уязвимость выявили с помощью ИИ-инструмента Vulnhalla, который анализировал код фреймворка. Под угрозой оказались все версии до 1.15.0. Хотя интерфейсы отладки /pprof/ обычно скрыты внутри сети, поисковики вроде Shodan находят сотни таких адресов в открытом доступе, что открывает прямой путь для хакеров.
🛠 Что делать? Разработчикам необходимо срочно обновиться до версии bRPC 1.15.0. В качестве временной меры рекомендуется ограничить доступ к диагностическим адресам на сетевом уровне, привязать их к localhost или полностью отключить профилирование в продакшене.
#CyberSecurity #Apache #RCE
@ZerodayAlert
🔍Исследователи обнаружили дыру в популярном C++ фреймворке Apache bRPC (CVE-2025-60021). Ошибка получила максимальный балл 9.8 по шкале CVSS. Проблема кроется в механизме профилирования кучи: из-за отсутствия фильтрации параметра extra_options атакующий может внедрить свои команды и удаленно выполнить произвольный код (RCE) с правами сервиса.
🤖 Уязвимость выявили с помощью ИИ-инструмента Vulnhalla, который анализировал код фреймворка. Под угрозой оказались все версии до 1.15.0. Хотя интерфейсы отладки /pprof/ обычно скрыты внутри сети, поисковики вроде Shodan находят сотни таких адресов в открытом доступе, что открывает прямой путь для хакеров.
🛠 Что делать? Разработчикам необходимо срочно обновиться до версии bRPC 1.15.0. В качестве временной меры рекомендуется ограничить доступ к диагностическим адресам на сетевом уровне, привязать их к localhost или полностью отключить профилирование в продакшене.
#CyberSecurity #Apache #RCE
@ZerodayAlert
SecurityLab.ru
В популярном фреймворке Apache bRPC обнаружена критическая уязвимость с оценкой CVSS 9.8, позволяющая выполнять произвольные команды
180+ публично доступных серверов под угрозой.
❤14🔥4👍1👌1
Когда защита становится угрозой: дыра в сердце Windows
🔍 Нашли критическую брешь в Secure Kernel — том самом компоненте, который Microsoft выставляет как неприступную крепость виртуализированной защиты. Ирония в том, что уязвимость обнаружилась именно в части системы, которая должна держать критические процессы подальше от всего потенциально опасного. Это не просто баг в коде — это трещина в самом фундаменте, на котором построена вся философия доверия.
⚡️ Через эту дыру можно обойти весь защитный комплекс Windows разом: Credential Guard, Device Guard — всё превращается в бутафорию. Злоумышленник получает код на самом привилегированном уровне, где обычные системы обнаружения вторжений просто не видят происходящего. По сути, это мастер-ключ ко всей системе — полный контроль без малейших следов в логах безопасности.
🎯 История показывает опасный тренд: чем изощрённее становятся защитные технологии, тем больше слабых мест появляется в их собственной инфраструктуре. Компаниям пора пересмотреть базовые представления о том, где проходят границы доверия в гибридных и облачных средах, где Secure Kernel считался последним рубежом обороны. Окно для реакции измеряется часами, а не днями.
#windows #kernel #vulnerability #уязвимость #microsoft
@ZerodayAlert
🔍 Нашли критическую брешь в Secure Kernel — том самом компоненте, который Microsoft выставляет как неприступную крепость виртуализированной защиты. Ирония в том, что уязвимость обнаружилась именно в части системы, которая должна держать критические процессы подальше от всего потенциально опасного. Это не просто баг в коде — это трещина в самом фундаменте, на котором построена вся философия доверия.
⚡️ Через эту дыру можно обойти весь защитный комплекс Windows разом: Credential Guard, Device Guard — всё превращается в бутафорию. Злоумышленник получает код на самом привилегированном уровне, где обычные системы обнаружения вторжений просто не видят происходящего. По сути, это мастер-ключ ко всей системе — полный контроль без малейших следов в логах безопасности.
🎯 История показывает опасный тренд: чем изощрённее становятся защитные технологии, тем больше слабых мест появляется в их собственной инфраструктуре. Компаниям пора пересмотреть базовые представления о том, где проходят границы доверия в гибридных и облачных средах, где Secure Kernel считался последним рубежом обороны. Окно для реакции измеряется часами, а не днями.
#windows #kernel #vulnerability #уязвимость #microsoft
@ZerodayAlert
SecurityLab.ru
Корпоративные Windows-сети горят: уязвимость в Quest дарит права SYSTEM каждому встречному
Администраторы в панике — CVE-2025-67813 превратил их домены в анархию.
👀10👌3🥴2👏1😐1
Новая уязвимость Office стала инструментом атак APT28
⚡️ Группировка APT28 начала использовать уязвимость CVE-2026-21509 в Microsoft Office уже через 3 дня после её публичного раскрытия. Под удар попали пользователи в Украине, Словакии и Румынии — злоумышленники рассылали документы более чем на 60 адресов государственных органов.
🔧 Атака реализуется через два типа вредоносных загрузчиков, которые доставляются в RTF-документах. Первый загрузчик устанавливает MiniDoor для кражи писем из почтовых ящиков, а второй — PixyNetLoader — разворачивает сложную цепочку заражения с использованием платформы удалённого управления Covenant.
🎭 Хакеры применяют стеганографию для сокрытия вредоносного кода внутри PNG-изображений. Серверы злоумышленников используют геофильтрацию и проверку браузерных данных, чтобы выдавать вредоносные модули только целевым жертвам из нужных стран.
#apt28 #microsoft #zeroday #киберугрозы
@ZerodayAlert
⚡️ Группировка APT28 начала использовать уязвимость CVE-2026-21509 в Microsoft Office уже через 3 дня после её публичного раскрытия. Под удар попали пользователи в Украине, Словакии и Румынии — злоумышленники рассылали документы более чем на 60 адресов государственных органов.
🔧 Атака реализуется через два типа вредоносных загрузчиков, которые доставляются в RTF-документах. Первый загрузчик устанавливает MiniDoor для кражи писем из почтовых ящиков, а второй — PixyNetLoader — разворачивает сложную цепочку заражения с использованием платформы удалённого управления Covenant.
🎭 Хакеры применяют стеганографию для сокрытия вредоносного кода внутри PNG-изображений. Серверы злоумышленников используют геофильтрацию и проверку браузерных данных, чтобы выдавать вредоносные модули только целевым жертвам из нужных стран.
#apt28 #microsoft #zeroday #киберугрозы
@ZerodayAlert
SecurityLab.ru
У Microsoft вышла «дыра», а у хакеров — праздник. APT28 обновила рекорды скорости
Новое вредоносное ПО MiniDoor крадет почтовую переписку из всех папок пользователя.
❤15👍6👎4
Удалённый запуск кода в TP-Link ER605 без входа в систему
🧩 В маршрутизаторе TP-Link Omada ER605 выявлена цепочка уязвимостей, позволяющая выполнять код удалённо и без авторизации. Речь идет не об одной ошибке, а о связанной группе проблем в служебном механизме обновления DDNS, который обычно работает «в тени» и редко проверяется отдельно. На текущий момент исправляющего обновления от производителя ещё нет.
🔬 Сервис обработки DDNS-ответов запущен с максимальными правами и избыточно доверяет входящим данным. Ошибки проверки длины полей приводят к переполнению буфера, а особенности внутреннего кодирования и зашитый в бинарный файл ключ позволяют формировать правдоподобные ответы сервера. В результате обходится рандомизация адресного пространства и управление выполнением перехватывается через цепочку вызовов.
⚠️ Атака особенно реалистична в сценариях с позицией посредника в сети через поддельный DHCP и DNS. Это уже воспроизводимая модель эксплуатации, а не теоретический риск. Пока патча нет, стоит как минимум проверить версии прошивок, сегментацию сети и контроль исходящих DNS-запросов с таких устройств.
#tp-link #rce #ddns #уязвимости
@ZerodayAlert
🧩 В маршрутизаторе TP-Link Omada ER605 выявлена цепочка уязвимостей, позволяющая выполнять код удалённо и без авторизации. Речь идет не об одной ошибке, а о связанной группе проблем в служебном механизме обновления DDNS, который обычно работает «в тени» и редко проверяется отдельно. На текущий момент исправляющего обновления от производителя ещё нет.
🔬 Сервис обработки DDNS-ответов запущен с максимальными правами и избыточно доверяет входящим данным. Ошибки проверки длины полей приводят к переполнению буфера, а особенности внутреннего кодирования и зашитый в бинарный файл ключ позволяют формировать правдоподобные ответы сервера. В результате обходится рандомизация адресного пространства и управление выполнением перехватывается через цепочку вызовов.
⚠️ Атака особенно реалистична в сценариях с позицией посредника в сети через поддельный DHCP и DNS. Это уже воспроизводимая модель эксплуатации, а не теоретический риск. Пока патча нет, стоит как минимум проверить версии прошивок, сегментацию сети и контроль исходящих DNS-запросов с таких устройств.
#tp-link #rce #ddns #уязвимости
@ZerodayAlert
SecurityLab.ru
Пароль больше не нужен. В роутерах TP-Link нашли «чёрный ход» размером с грузовик
Оказалось, что даже запертая на все замки дверь не гарантирует приватности.
1❤6👍3👏2💯1
Февральский Patch Tuesday: 58 уязвимостей и шесть активных атак
🔓 Microsoft закрыла 58 уязвимостей, шесть из которых уже активно эксплуатируются злоумышленниками. Три уязвимости были публично раскрыты ещё до выхода исправлений.
🪟 Среди активно используемых выделяется CVE-2026-21519 в диспетчере окон рабочего стола, дающая атакующему права уровня SYSTEM. Уязвимости в Word и MSHTML позволяют обходить защитные механизмы через вредоносные документы и сетевые запросы.
🔒 Помимо исправлений, Microsoft начала поэтапную замену сертификатов Secure Boot образца 2011 года, срок которых истекает в июне 2026 года. Обновления сертификатов будут рассылаться постепенно только устройствам с подтверждённой стабильностью установки патчей.
#patchtuesday #zeroday #windows #кибербезопасность
@ZerodayAlert
🔓 Microsoft закрыла 58 уязвимостей, шесть из которых уже активно эксплуатируются злоумышленниками. Три уязвимости были публично раскрыты ещё до выхода исправлений.
🪟 Среди активно используемых выделяется CVE-2026-21519 в диспетчере окон рабочего стола, дающая атакующему права уровня SYSTEM. Уязвимости в Word и MSHTML позволяют обходить защитные механизмы через вредоносные документы и сетевые запросы.
🔒 Помимо исправлений, Microsoft начала поэтапную замену сертификатов Secure Boot образца 2011 года, срок которых истекает в июне 2026 года. Обновления сертификатов будут рассылаться постепенно только устройствам с подтверждённой стабильностью установки патчей.
#patchtuesday #zeroday #windows #кибербезопасность
@ZerodayAlert
SecurityLab.ru
Шесть «нулевых дней», 58 уязвимостей и полный контроль над системой. Microsoft выпустила февральский Patch Tuesday
Специалисты обнаружили код для взлома Windows в открытом доступе за два месяца до выхода исправлений.
1❤4🔥2🌚1🤣1💋1
Apple закрыла первую уязвимость нулевого дня в 2026 году
🎯 Apple подтвердила, что CVE-2026-20700 применялась в реальных атаках против конкретных пользователей. Сама компания охарактеризовала операцию как «исключительно сложную» и точечную.
🔗 Уязвимость связана с компонентом динамической загрузки библиотек и затрагивает все основные платформы Apple. Ошибка позволяет выполнить произвольный код при наличии доступа к записи в память — и эксплуатировалась в связке ещё с двумя уязвимостями, закрытыми в декабре 2025 года.
🔍 Новую брешь обнаружила группа анализа угроз Google. Исправления уже вошли в iOS 18.7.5, iPadOS 18.7.5, macOS Tahoe 26.3, tvOS 26.3, watchOS 26.3 и visionOS 26.3 — и доступны для широкого круга устройств начиная с iPhone 11.
#apple #нулевойдень #обновление #уязвимость
@ZerodayAlert
🎯 Apple подтвердила, что CVE-2026-20700 применялась в реальных атаках против конкретных пользователей. Сама компания охарактеризовала операцию как «исключительно сложную» и точечную.
🔗 Уязвимость связана с компонентом динамической загрузки библиотек и затрагивает все основные платформы Apple. Ошибка позволяет выполнить произвольный код при наличии доступа к записи в память — и эксплуатировалась в связке ещё с двумя уязвимостями, закрытыми в декабре 2025 года.
🔍 Новую брешь обнаружила группа анализа угроз Google. Исправления уже вошли в iOS 18.7.5, iPadOS 18.7.5, macOS Tahoe 26.3, tvOS 26.3, watchOS 26.3 и visionOS 26.3 — и доступны для широкого круга устройств начиная с iPhone 11.
#apple #нулевойдень #обновление #уязвимость
@ZerodayAlert
SecurityLab.ru
Срочно обновите iOS. Опять. Apple закрыла 0Day, позволяющий хакерам захватить устройство
Список устройств Apple, для которых вышли экстренные исправления.
1👍5❤2
Один плагин, одна уязвимость и 900000 сайтов под угрозой захвата
🌍 Уязвимость CVE-2026-1357 с оценкой CVSS 9.8 из 10 затрагивает плагин WPvivid Backup & Migration, установленный более чем на 900 000 сайтов. Проблема позволяла захватить сайт полностью — без входа в учётную запись.
📂 Ошибка крылась в механизме приёма резервных копий по временному ключу: злоумышленник мог обойти проверку и загрузить на сервер файл с произвольным содержимым. Отсутствие проверки имени и расширения файла открывало путь к размещению вредоносных сценариев в доступных каталогах сайта.
🛠 Исследователь NiRoX сообщил об ошибке через программу вознаграждений Wordfence 22 января, и уже 28 января вышла исправленная версия 0.9.124 с жёсткой фильтрацией загружаемых файлов. Владельцам сайтов рекомендуют обновиться немедленно — особенно тем, кто использовал функцию приёма бэкапов с других сайтов.
#wordpress #wpvivid #уязвимость #безопасность
@ZerodayAlert
🌍 Уязвимость CVE-2026-1357 с оценкой CVSS 9.8 из 10 затрагивает плагин WPvivid Backup & Migration, установленный более чем на 900 000 сайтов. Проблема позволяла захватить сайт полностью — без входа в учётную запись.
📂 Ошибка крылась в механизме приёма резервных копий по временному ключу: злоумышленник мог обойти проверку и загрузить на сервер файл с произвольным содержимым. Отсутствие проверки имени и расширения файла открывало путь к размещению вредоносных сценариев в доступных каталогах сайта.
🛠 Исследователь NiRoX сообщил об ошибке через программу вознаграждений Wordfence 22 января, и уже 28 января вышла исправленная версия 0.9.124 с жёсткой фильтрацией загружаемых файлов. Владельцам сайтов рекомендуют обновиться немедленно — особенно тем, кто использовал функцию приёма бэкапов с других сайтов.
#wordpress #wpvivid #уязвимость #безопасность
@ZerodayAlert
SecurityLab.ru
Как захватить 900000 сайтов, не зная ни одного пароля. Пособие для тех, кто забывает обновлять WordPress
Пришло время проверить свои плагины для бэкапов.
1👍10❤4🔥1
В коде Munge 20 лет скрывалась уязвимость аутентификации
🖥 Munge — служба аутентификации, на которую опирается планировщик Slurm в суперкомпьютерных кластерах. Она выдаёт маркеры на основе единого секретного ключа, которому доверяют все узлы кластера.
💥 Уязвимость CVE-2026-25506 с оценкой CVSS 7.7 существовала в коде почти 20 лет и затрагивает все версии Munge до 0.5.17 включительно. Причиной стало переполнение буфера: длина адреса хранится в однобайтном поле, но данные копируются без проверки размера, затирая соседние структуры в памяти.
⚠️ В лабораторной среде исследователям удалось обойти рандомизацию адресов памяти и извлечь секретный ключ из процесса munged. Обладая этим ключом, злоумышленник может подделывать маркеры и запускать задания от имени любого пользователя кластера.
#уязвимость #аутентификация #суперкомпьютеры #hpc
@ZerodayAlert
🖥 Munge — служба аутентификации, на которую опирается планировщик Slurm в суперкомпьютерных кластерах. Она выдаёт маркеры на основе единого секретного ключа, которому доверяют все узлы кластера.
💥 Уязвимость CVE-2026-25506 с оценкой CVSS 7.7 существовала в коде почти 20 лет и затрагивает все версии Munge до 0.5.17 включительно. Причиной стало переполнение буфера: длина адреса хранится в однобайтном поле, но данные копируются без проверки размера, затирая соседние структуры в памяти.
⚠️ В лабораторной среде исследователям удалось обойти рандомизацию адресов памяти и извлечь секретный ключ из процесса munged. Обладая этим ключом, злоумышленник может подделывать маркеры и запускать задания от имени любого пользователя кластера.
#уязвимость #аутентификация #суперкомпьютеры #hpc
@ZerodayAlert
SecurityLab.ru
Взлом суперкомпьютера за пять минут. 20-летняя уязвимость даёт почувствовать себя хакером из «Матрицы»
Автоматическое тестирование внезапно «уронило» софт для большой науки.
❤3👍3
В ИБ есть место не только для «людей в капюшонах»: разбираемся, как выбрать своё направление и не выгореть за полгода — от атакующей стороны до управления рисками. Также рассказываем, что такое «Марафон профессий» и как он помогает понять, какая роль вам ближе
❤7👎3
Первый в 2026 году «нулевой день» в браузере Chrome оказался под активной эксплуатацией
🎯Уязвимость CVE-2026-2441 (оценка CVSS 8.8) связана с некорректной обработкой параметров шрифтов в таблицах стилей, из-за чего освобождённая область памяти может использоваться повторно. Это приводит к непредсказуемому поведению браузера: падениям, искажению страниц и повреждению данных.
🔧Судя по истории изменений Chromium, выпущенное исправление закрывает лишь наиболее острую часть проблемы. Разработчики прямо указали, что работа по связанному дефекту ещё продолжается, а значит патч может оказаться промежуточным.
📦Исправленные версии уже распространяются в стабильном канале: для Windows и macOS это сборки 145.0.7632.75 и 145.0.7632.76, для Linux — 144.0.7559.75. Браузер может установить обновление самостоятельно после перезапуска, если включена автоматическая проверка.
#chrome #уязвимость #zeroday #кибербезопасность
@ZerodayAlert
🎯Уязвимость CVE-2026-2441 (оценка CVSS 8.8) связана с некорректной обработкой параметров шрифтов в таблицах стилей, из-за чего освобождённая область памяти может использоваться повторно. Это приводит к непредсказуемому поведению браузера: падениям, искажению страниц и повреждению данных.
🔧Судя по истории изменений Chromium, выпущенное исправление закрывает лишь наиболее острую часть проблемы. Разработчики прямо указали, что работа по связанному дефекту ещё продолжается, а значит патч может оказаться промежуточным.
📦Исправленные версии уже распространяются в стабильном канале: для Windows и macOS это сборки 145.0.7632.75 и 145.0.7632.76, для Linux — 144.0.7559.75. Браузер может установить обновление самостоятельно после перезапуска, если включена автоматическая проверка.
#chrome #уязвимость #zeroday #кибербезопасность
@ZerodayAlert
SecurityLab.ru
Ваши шрифты – ваша крепость (но не сегодня). В Chrome нашли 0Day в самом неожиданном месте
Первая в 2026 году уязвимость уже вовсю эксплуатируется злоумышленниками.
1❤5
Дыра 10/10: хакеры могут угнать ваш WhatsApp через ИИ-ассистента Nanobot
🚨 В ИИ-ассистенте Nanobot нашли критическую брешь CVE-2026-2577 с высшим баллом опасности 10 из 10. Ошибка угрожает пользователям, связывающим WhatsApp с нейросетями. Исследователи из Tenable подтвердили, что взломщики могут полностью контролировать чужой мессенджер.
🔓Проблема возникла из-за WebSocket-сервера, который позволял подключаться кому угодно, не проверяя личность. Странно видеть столь примитивную оплошность в популярном софте. Порт 3001 фактически оставался открытым для всех желающих. Теперь посторонние могут читать чужие тексты, писать от имени владельца или угонять аккаунты, перехватывая QR-коды.
✅ Разработчики выпустили патч v0.1.3.post7 спустя неделю после того, как Джошуа Мартинель сообщил о проблеме. Обновите Nanobot немедленно, чтобы закрыть доступ к данным.
#cybersecurity #whatsapp #nanobot
@ZerodayAlert
🔓Проблема возникла из-за WebSocket-сервера, который позволял подключаться кому угодно, не проверяя личность. Странно видеть столь примитивную оплошность в популярном софте. Порт 3001 фактически оставался открытым для всех желающих. Теперь посторонние могут читать чужие тексты, писать от имени владельца или угонять аккаунты, перехватывая QR-коды.
✅ Разработчики выпустили патч v0.1.3.post7 спустя неделю после того, как Джошуа Мартинель сообщил о проблеме. Обновите Nanobot немедленно, чтобы закрыть доступ к данным.
#cybersecurity #whatsapp #nanobot
@ZerodayAlert
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
Десять из десяти. В ИИ-ассистенте Nanobot нашли уязвимость, позволяющую угнать ваш WhatsApp
ИИ-помощник, который помогает не только вам, но и хакерам.
1😁11👀6❤4🤬1
& вместо |. Рассказываем, как крошечный баг в движке SpiderMonkey привел к критической уязвимости
Критическая уязвимость в движке SpiderMonkey возникла из-за опечатки в один символ. В коде сборщика мусора для WebAssembly разработчик поставил & вместо |. На вид мелочь, побитовое И вместо побитового ИЛИ, а на деле ломается метка. Вместо выставленного младшего бита в указателе переадресации в заголовок записывался ноль. Из-за этого сборщик мусора и оптимизирующий компилятор Ion начинали по-разному понимать, где лежат данные массива. Дальше открывался прямой путь к удаленному выполнению кода.
Механика такая. Когда GC переносит массив WebAssembly в другую область памяти, старый буфер должен получить указатель на новое место с выставленным младшим битом. Это сигнал для Ion. Но из-за & 1 вместо | 1 в заголовок попадал ноль, который еще и проходил проверку на встроенный массив. Ion продолжал ходить по старому адресу, хотя память уже освободили. Дальше все по учебнику для use-after-free: распыление кучи, перехват потока выполнения, запуск командной оболочки.
И отдельно пугает скорость. Ошибку внесли 19 января, а уже 3 февраля два независимых исследователя прислали отчеты с рабочими PoC. То есть баг появился, его нашли и довели до эксплуатации буквально за считанные дни. Повезло только в одном: проблема успела попасть лишь в Firefox 149 Nightly и не доехала до стабильных релизов.
#firefox #rce #webassembly
Критическая уязвимость в движке SpiderMonkey возникла из-за опечатки в один символ. В коде сборщика мусора для WebAssembly разработчик поставил & вместо |. На вид мелочь, побитовое И вместо побитового ИЛИ, а на деле ломается метка. Вместо выставленного младшего бита в указателе переадресации в заголовок записывался ноль. Из-за этого сборщик мусора и оптимизирующий компилятор Ion начинали по-разному понимать, где лежат данные массива. Дальше открывался прямой путь к удаленному выполнению кода.
Механика такая. Когда GC переносит массив WebAssembly в другую область памяти, старый буфер должен получить указатель на новое место с выставленным младшим битом. Это сигнал для Ion. Но из-за & 1 вместо | 1 в заголовок попадал ноль, который еще и проходил проверку на встроенный массив. Ion продолжал ходить по старому адресу, хотя память уже освободили. Дальше все по учебнику для use-after-free: распыление кучи, перехват потока выполнения, запуск командной оболочки.
И отдельно пугает скорость. Ошибку внесли 19 января, а уже 3 февраля два независимых исследователя прислали отчеты с рабочими PoC. То есть баг появился, его нашли и довели до эксплуатации буквально за считанные дни. Повезло только в одном: проблема успела попасть лишь в Firefox 149 Nightly и не доехала до стабильных релизов.
#firefox #rce #webassembly
SecurityLab.ru
Разработчик Firefox перепутал два символа — и подарил хакерам RCE-уязвимость в движке JavaScript
Как один неправильный символ довел Mozilla до истерики.
👍13🔥2😱2
Атаки на Ivanti EPMM вышли на промышленный масштаб
🌐 В сети доступно более 4400 серверов Ivanti EPMM, и злоумышленники массово сканируют их в автоматическом режиме. Под удар попали государственные структуры, медицинские организации и промышленные компании в США, Германии, Австралии и Канаде.
🐚 Обе уязвимости связаны с небезопасной обработкой данных в bash-сценариях Apache — атакующий внедряет команду прямо в HTTP GET-запрос. После подтверждения выполнения кода через команду sleep 5 злоумышленники устанавливают веб-оболочки, обратные шеллы и агенты ботнета Nezha.
🔧 Ivanti выпустила патч ещё в январе 2026 года, и он устанавливается без остановки сервисов. Однако производитель предупреждает: даже после обновления нужно проверить систему на следы закрепления — атакующие могут сохранять скрытый доступ.
#ivanti #zeroday #кибербезопасность #исправление
@ZerodayAlert
🌐 В сети доступно более 4400 серверов Ivanti EPMM, и злоумышленники массово сканируют их в автоматическом режиме. Под удар попали государственные структуры, медицинские организации и промышленные компании в США, Германии, Австралии и Канаде.
🐚 Обе уязвимости связаны с небезопасной обработкой данных в bash-сценариях Apache — атакующий внедряет команду прямо в HTTP GET-запрос. После подтверждения выполнения кода через команду sleep 5 злоумышленники устанавливают веб-оболочки, обратные шеллы и агенты ботнета Nezha.
🔧 Ivanti выпустила патч ещё в январе 2026 года, и он устанавливается без остановки сервисов. Однако производитель предупреждает: даже после обновления нужно проверить систему на следы закрепления — атакующие могут сохранять скрытый доступ.
#ivanti #zeroday #кибербезопасность #исправление
@ZerodayAlert
SecurityLab.ru
Обновление Ivanti – это когда можно взломать компании по всему миру. Пароли даже не нужны
Хакеры массово атакуют государственные и медицинские организации через ошибки в программах Ivanti.
2❤16
🔓 Рынок 0day: как продают уязвимости за миллионы
Zero-day — уязвимость в программе, о которой разработчик еще не знает. Патча нет, защиты нет, а у атакующего уже есть путь внутрь.
Именно такой доступ и продают.
Схема рынка простая:
Исследователь находит баг → брокер проверяет и продает → покупатель получает доступ
Что влияет на цену? Главный фактор, нужно ли жертве что-то сделать.
• Атака с кликом — от $500 000
Жертва должна открыть ссылку, вложение или сообщение.
Звучит как мелочь, но такой клик часто легко организовать через фишинг, подставной контакт или просто хорошо написанное письмо.
• Без единого клика — от $1 500 000
Сообщение пришло, и устройство уже скомпрометировано.
Жертва ничего не открывала, не нажимала и даже не смотрела на экран. Такие уязвимости стоят дороже всего, потому что советы в духе «будь осторожен» здесь почти не работают.
• Полная цепочка под ключ — от $4 000 000
Речь не про одну уязвимость, а про связку из нескольких багов, собранных в готовый маршрут атаки:
сначала выполняется код в приложении, потом атака выходит из изоляции, затем получает права администратора.
Результат: полный контроль над устройством, без действий со стороны жертвы и почти без следов. Покупатель получает готовый инструмент и просто указывает цель.
🤑 Покупатели на таком рынке разные: спецслужбы, военные подрядчики, корпоративная разведка и криминальные группы.
Иногда один и тот же инструмент в итоге оказывается сразу у всех.
@ZerodayAlert
Zero-day — уязвимость в программе, о которой разработчик еще не знает. Патча нет, защиты нет, а у атакующего уже есть путь внутрь.
Именно такой доступ и продают.
Схема рынка простая:
Исследователь находит баг → брокер проверяет и продает → покупатель получает доступ
Что влияет на цену? Главный фактор, нужно ли жертве что-то сделать.
• Атака с кликом — от $500 000
Жертва должна открыть ссылку, вложение или сообщение.
Звучит как мелочь, но такой клик часто легко организовать через фишинг, подставной контакт или просто хорошо написанное письмо.
• Без единого клика — от $1 500 000
Сообщение пришло, и устройство уже скомпрометировано.
Жертва ничего не открывала, не нажимала и даже не смотрела на экран. Такие уязвимости стоят дороже всего, потому что советы в духе «будь осторожен» здесь почти не работают.
• Полная цепочка под ключ — от $4 000 000
Речь не про одну уязвимость, а про связку из нескольких багов, собранных в готовый маршрут атаки:
сначала выполняется код в приложении, потом атака выходит из изоляции, затем получает права администратора.
Результат: полный контроль над устройством, без действий со стороны жертвы и почти без следов. Покупатель получает готовый инструмент и просто указывает цель.
Иногда один и тот же инструмент в итоге оказывается сразу у всех.
@ZerodayAlert
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍14👏3💯3
RoguePilot: атака через описание задачи
В GitHub выявили способ обойти защиту репозитория через связку GitHub Copilot и GitHub Codespaces. Исследователи из Orca Security показали, что достаточно запустить среду разработки из специально подготовленной задачи, чтобы ассистент начал выполнять скрытые инструкции.
Злоумышленник добавлял вредоносный фрагмент в описание issue. Copilot автоматически получал этот текст при старте Codespace и воспринимал его как рабочую подсказку. Далее модель переходила к созданному pull request, считывала внутренний файл через символическую ссылку и отправляла данные, включая GITHUB_TOKEN, на внешний сервер. Всё происходило в рамках штатного сценария, без модификации кода и расширений.
История наглядно показывает, что текст в ИИ-интеграциях всё чаще становится каналом управления. Microsoft изменила обработку входных данных, но сам риск никуда не делся. Чем глубже ассистенты встроены в процессы разработки, тем выше цена ошибки в архитектуре доверия.
#copilot #github #цепочкапоставок #иб
@ZerodayAlert
В GitHub выявили способ обойти защиту репозитория через связку GitHub Copilot и GitHub Codespaces. Исследователи из Orca Security показали, что достаточно запустить среду разработки из специально подготовленной задачи, чтобы ассистент начал выполнять скрытые инструкции.
Злоумышленник добавлял вредоносный фрагмент в описание issue. Copilot автоматически получал этот текст при старте Codespace и воспринимал его как рабочую подсказку. Далее модель переходила к созданному pull request, считывала внутренний файл через символическую ссылку и отправляла данные, включая GITHUB_TOKEN, на внешний сервер. Всё происходило в рамках штатного сценария, без модификации кода и расширений.
История наглядно показывает, что текст в ИИ-интеграциях всё чаще становится каналом управления. Microsoft изменила обработку входных данных, но сам риск никуда не делся. Чем глубже ассистенты встроены в процессы разработки, тем выше цена ошибки в архитектуре доверия.
#copilot #github #цепочкапоставок #иб
@ZerodayAlert
SecurityLab.ru
Токен на блюдечке. Как архитектурная ошибка в GitHub позволила угонять проекты через встроенный чат
Иногда излишнее удобство ведёт к катастрофическим последствиям.
👍10🏆2
Почтовый клиент Roundcube стал вектором активных кибератак
CISA предупредило о двух уязвимостях в Roundcube Webmail — популярном почтовом клиенте, широко используемом в корпоративных сетях. Обе бреши уже применяются в реальных атаках, что и послужило основанием для обновления списка известных активно эксплуатируемых уязвимостей.
Первая — CVE-2025-49113 с оценкой CVSS 9.9 — позволяет авторизованному пользователю выполнить произвольный код на сервере через модуль загрузки файлов и затрагивает версии до 1.5.10 и 1.6.x до 1.6.11 включительно. Вторая — CVE-2025-68461 с оценкой CVSS 7.2 — эксплуатирует XSS через SVG-теги и позволяет выполнять вредоносный код прямо в браузере жертвы без её ведома. Эксплуатация обеих брешей была зафиксирована ещё до их попадания в каталог.
Федеральные ведомства США обязаны устранить уязвимости в установленные сроки согласно директиве 2021 года. Остальным организациям рекомендуется как можно скорее обновить Roundcube до безопасных версий, поскольку взлом почтового сервера открывает доступ к переписке и учётным данным.
#кибербезопасность #roundcube #уязвимости #cisa
@ZerodayAlert
CISA предупредило о двух уязвимостях в Roundcube Webmail — популярном почтовом клиенте, широко используемом в корпоративных сетях. Обе бреши уже применяются в реальных атаках, что и послужило основанием для обновления списка известных активно эксплуатируемых уязвимостей.
Первая — CVE-2025-49113 с оценкой CVSS 9.9 — позволяет авторизованному пользователю выполнить произвольный код на сервере через модуль загрузки файлов и затрагивает версии до 1.5.10 и 1.6.x до 1.6.11 включительно. Вторая — CVE-2025-68461 с оценкой CVSS 7.2 — эксплуатирует XSS через SVG-теги и позволяет выполнять вредоносный код прямо в браузере жертвы без её ведома. Эксплуатация обеих брешей была зафиксирована ещё до их попадания в каталог.
Федеральные ведомства США обязаны устранить уязвимости в установленные сроки согласно директиве 2021 года. Остальным организациям рекомендуется как можно скорее обновить Roundcube до безопасных версий, поскольку взлом почтового сервера открывает доступ к переписке и учётным данным.
#кибербезопасность #roundcube #уязвимости #cisa
@ZerodayAlert
SecurityLab.ru
Всю сеть взломали через одно письмо. К чему ещё приводит отказ обновить Roundcube
Обнаруженные ошибки позволяют злоумышленникам выполнять код на серверах.
❤7
Forwarded from Топ кибербезопасности Батранкова
В мире действует множество компаний, которые разрабатывают наступательное кибероружие: zero-click эксплойты, комплексы перехвата информации и управления, готовые инструменты для взлома iOS/Android и браузеров. Формально им разрешают работать, потому что они созданы “для спецслужб”. Фактически - это никем не контролируемый серый рынок глобального масштаба.
Топ-10 ключевых игроков и их инструменты:
🇮🇱 NSO Group - утилиты Pegasus, QuaDream; выполняют взлом iPhone/Android без единого клика пользователя.
🇮🇱 Candiru - скрытые эксплойты для Chrome и Edge.
🇨🇾🇬🇷🇮🇱 Intellexa / Cytrox - Predator, активные zero-day.
🇮🇹 Hacking Team → теперь Memento Labs — удалённое управление для ПК и мобильных устройств.
🇩🇪🇬🇧 FinFisher / Gamma Group - FinSpy, перехват зашифрованного трафика.
🇪🇸 Variston IT - эксплойты для Chrome/Firefox/Windows (раскрыты Google TAG).
🇮🇹 RCS Lab / Tykelab - IMSI-catchers, lawful intercept, SS7-перехват.
🇮🇱 Circles - полный доступ к SS7, определение локации и перехват SMS.
🇦🇪 DarkMatter - offensive-разработка под заказ.
🇮🇳 BellTroX, Appin - «цифровые наёмники», фишинг + эксплойты.
И это только вершина айсберга!
Почему эти компании работают открыто?
🔹Их клиенты - правительства. Страны сами заинтересованы в подобных инструментах.
🔹Экспортный контроль формален: разрешения выдаёт тот же регулятор, которому выгодно их наличие.
🔹Легальное позиционирование (“lawful intercept” - полицейские функции) создаёт серую зону, где сложно предъявить обвинения.
🔹Рынок огромен: миллионы долларов за одну цепочку zero-day — сильный экономический стимул.
🔹Их технологии используют не только разведки, но и многие силовые ведомства — никто не хочет закрывать источник.
Но есть проблема
Поставщиков кибероружия тоже ломают. Если 10 лет назад ломали итальянскую компанию Hacking Team, то недавно, утекло кибероружие из китайской компании Knowsec.
К сожалению, кибероружие из подобных утечек уже использовалось в массовых атаках. Например, WannaCry и NotPetya не появились бы, если бы не утечка эксплойта EternalBlue - инструмента, украденного у Equation Group, подразделения NSA.
Рекомендую специалистам по кибербезопасности учитывать риск того, что против топ-менеджеров российских компаний могут применять коммерческое или государственное кибероружие. Как показывают утечки последних лет, такие инструменты разрабатываются в десятках стран и рано или поздно оказываются в руках тех, кому они не предназначались. И я лшь констатирую факт. Без паники. Защиты просто нет. И это нормально.
Это продолжение серии постов о кибероружии.
В следующих заметках - как эти инструменты применяются против бизнеса и топ-менеджеров. И почему сегодня опасно лететь со своим телефоном в некоторые страны. Предыдущий пост про утилиты ЦРУ был тут.
Канал Топ Кибербезопасности
#кибербезопасность #ДляВсех #разведка #хакеры #кибероружие #кибероружие
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13❤3🤣2
Пять стран скоординировали ответ на массовые атаки против Cisco SD-WAN
CISA выпустила экстренную директиву, обязательную для всех гражданских федеральных ведомств США. Документ предписывает выявить затронутые системы, проверить их на признаки компрометации и установить обновления до 27 февраля 2026 года.
В основе атак лежат две уязвимости в Cisco Catalyst SD-WAN — CVE-2026-20127, позволяющая удалённо обойти аутентификацию и получить административные права, и CVE-2022-20775, открывающая путь к правам root. Злоумышленники внедряют в инфраструктуру фиктивный узел, который выполняет доверенные действия и обеспечивает долгосрочное закрепление в системе.
К совместному предупреждению присоединились агентства Великобритании, Канады, Новой Зеландии, Австралии и США. Австралийская разведка установила, что как минимум один атакующий использовал уязвимость нулевого дня в Cisco SD-WAN с 2023 года — обнаружить её удалось лишь в конце 2025 года.
#cisco #zeroday #sdwan #уязвимости
@ZerodayAlert
CISA выпустила экстренную директиву, обязательную для всех гражданских федеральных ведомств США. Документ предписывает выявить затронутые системы, проверить их на признаки компрометации и установить обновления до 27 февраля 2026 года.
В основе атак лежат две уязвимости в Cisco Catalyst SD-WAN — CVE-2026-20127, позволяющая удалённо обойти аутентификацию и получить административные права, и CVE-2022-20775, открывающая путь к правам root. Злоумышленники внедряют в инфраструктуру фиктивный узел, который выполняет доверенные действия и обеспечивает долгосрочное закрепление в системе.
К совместному предупреждению присоединились агентства Великобритании, Канады, Новой Зеландии, Австралии и США. Австралийская разведка установила, что как минимум один атакующий использовал уязвимость нулевого дня в Cisco SD-WAN с 2023 года — обнаружить её удалось лишь в конце 2025 года.
#cisco #zeroday #sdwan #уязвимости
@ZerodayAlert
SecurityLab.ru
Полный контроль, захват сетей и обход паролей. Две критические уязвимости затронули оборудование Cisco по всему миру
На этот раз все настолько плохо, что в США опубликовали экстренную директиву.
🔥10❤5🙈4🤩2👌2
Coruna: анатомия идеального взлома iPhone
Специалисты Google Threat Intelligence обнаружили сложный инструмент Coruna – набор из 5 цепочек атак и 23 уязвимостей для iOS, работающий против iPhone на версиях от iOS 13 до iOS 17.2.1. Инструмент использует уязвимости WebKit, обходит Pointer Authentication Code и маскирует полезную нагрузку под JavaScript-файлы.
История Coruna охватывает три разные кампании: точечная слежка через коммерческую компанию-разработчика шпионского ПО, кибершпионаж против украинских пользователей через заражённые сайты, а также кража криптоактивов через сеть поддельных китайских финансовых сайтов. Один набор – три разных оператора.
Финальная полезная нагрузка PlasmaLoader внедряется в системный процесс powerd и охотится за фразами восстановления криптокошельков BIP39, перехватывает MetaMask, Trust Wallet, Exodus и Phantom.
#iphone #ios #кибершпионаж #zeroday
@ZerodayAlert
Специалисты Google Threat Intelligence обнаружили сложный инструмент Coruna – набор из 5 цепочек атак и 23 уязвимостей для iOS, работающий против iPhone на версиях от iOS 13 до iOS 17.2.1. Инструмент использует уязвимости WebKit, обходит Pointer Authentication Code и маскирует полезную нагрузку под JavaScript-файлы.
История Coruna охватывает три разные кампании: точечная слежка через коммерческую компанию-разработчика шпионского ПО, кибершпионаж против украинских пользователей через заражённые сайты, а также кража криптоактивов через сеть поддельных китайских финансовых сайтов. Один набор – три разных оператора.
Финальная полезная нагрузка PlasmaLoader внедряется в системный процесс powerd и охотится за фразами восстановления криптокошельков BIP39, перехватывает MetaMask, Trust Wallet, Exodus и Phantom.
#iphone #ios #кибершпионаж #zeroday
@ZerodayAlert
SecurityLab.ru
Сначала следят спецслужбы, а потом мошенники крадут крипту – жизненный цикл новой уязвимости iOS
Google нашел инструмент Coruna для массового взлома iPhone.
🔥5👍2👀2❤1😢1