Поддержать Telegram

Новости информационной безопасности

Microsoft дала временную защиту от уязвимости YellowKey — обхода BitLocker через среду восстановления Windows

Microsoft дала временную защиту от уязвимости YellowKey — обхода BitLocker через среду восстановления Windows

by Маша Даровская 26 мая, 2026

Microsoft выпустила рекомендации по защите от YellowKey — уязвимости нулевого дня в BitLocker, которая позволяет получить доступ к зашифрованному системному диску Windows при физическом доступе к устройству. Проблема получила идентификатор CVE-2026-45585. Полного патча пока нет: компания предлагает вручную изменить образ …

Читать далее →

Microsoft дала временную защиту от уязвимости YellowKey — обхода BitLocker через среду восстановления Windows

Инженера Atlassian сократили после 8 лет работы. Он ответил сорокаминутным разбором инфраструктуры

Инженера Atlassian сократили после 8 лет работы. Он ответил сорокаминутным разбором инфраструктуры

by Маша Даровская 26 мая, 2026

Сокращённый инженер Atlassian записал разбор систем, которые строил 8 лет. Интернет принял это за месть

Читать далее →

Инженера Atlassian сократили после 8 лет работы. Он ответил сорокаминутным разбором инфраструктуры

В Avada Builder закрыли две уязвимости: под риском около миллиона WordPress-сайтов

В Avada Builder закрыли две уязвимости: под риском около миллиона WordPress-сайтов

by Маша Даровская 26 мая, 2026

В популярном WordPress-плагине Avada Builder исправили две уязвимости, которые могли затронуть около 1 млн сайтов. Первая — CVE-2026-4782, чтение произвольных файлов на сервере через параметр custom_svg; вторая — CVE-2026-4798, SQL-инъекция через параметр product_order. Полностью безопасной версией на момент раскрытия стала …

Читать далее →

В Avada Builder закрыли две уязвимости: под риском около миллиона WordPress-сайтов

Google случайно открыл PoC для старой дыры в Chromium. Браузер можно превратить в тихий JS-узел после одного визита на сайт

Google случайно открыл PoC для старой дыры в Chromium. Браузер можно превратить в тихий JS-узел после одного визита на сайт

by masha 25 мая, 2026

Chrome, Edge и Brave под риском: баг Background Fetch держит JavaScript живым после закрытия браузера

Читать далее →

Google случайно открыл PoC для старой дыры в Chromium. Браузер можно превратить в тихий JS-узел после одного визита на сайт

ФБР предупредило о Kali365: новый фишинговый сервис крадёт токены Microsoft 365 и обходит MFA

ФБР предупредило о Kali365: новый фишинговый сервис крадёт токены Microsoft 365 и обходит MFA

by masha 25 мая, 2026

Telegram, OAuth и Microsoft 365: как Kali365 превратил фишинг в подписочный сервис. Kali365 бьёт по Outlook, Teams и OneDrive через легитимную страницу Microsoft

Читать далее →

ФБР предупредило о Kali365: новый фишинговый сервис крадёт токены Microsoft 365 и обходит MFA

В Cisco Catalyst SD-WAN закрыли новый 0-day: злоумышленники получали админский доступ без пароля

В Cisco Catalyst SD-WAN закрыли новый 0-day: злоумышленники получали админский доступ без пароля

by Маша Даровская 25 мая, 2026

Cisco выпустила исправления для критической уязвимости CVE-2026-20182 в Cisco Catalyst SD-WAN Controller и Catalyst SD-WAN Manager. Ошибка получила максимальную оценку CVSS 10.0 и уже использовалась в реальных атаках. Уязвимость позволяет удалённому атакующему без логина и пароля обойти аутентификацию, получить административные …

Читать далее →

В Cisco Catalyst SD-WAN закрыли новый 0-day: злоумышленники получали админский доступ без пароля

Фейковые сайты Gemini CLI и Claude Code продвигали через SEO. Разработчикам подсовывали стилер

Фейковые сайты Gemini CLI и Claude Code продвигали через SEO. Разработчикам подсовывали стилер

by masha 25 мая, 2026

Искали AI-помощника — получили стилер: как подделки Gemini и Claude били по dev-машинам

Читать далее →

Фейковые сайты Gemini CLI и Claude Code продвигали через SEO. Разработчикам подсовывали стилер

В npm снова нашли вредонос: node-ipc подменили на сборщик секретов

В npm снова нашли вредонос: node-ipc подменили на сборщик секретов

by Маша Даровская 25 мая, 2026

В npm обнаружили три вредоносные версии пакета node-ipc: 9.1.6, 9.2.3 и 12.0.1. Пакет используется в Node.js-проектах для межпроцессного взаимодействия, а вредоносный код был встроен в CommonJS-сборку node-ipc.cjs. При загрузке через require("node-ipc") он запускался автоматически, собирал переменные окружения, SSH-ключи, облачные конфиги, …

Читать далее →

В npm снова нашли вредонос: node-ipc подменили на сборщик секретов

Фейковый «слив» OnlyFans на 340 млн аккаунтов превратили в приманку для стилеров

Фейковый «слив» OnlyFans на 340 млн аккаунтов превратили в приманку для стилеров

by masha 25 мая, 2026

На BreachForums продавали базу OnlyFans за 0,313 BTC. Настоящей утечки не нашли

Читать далее →

Фейковый «слив» OnlyFans на 340 млн аккаунтов превратили в приманку для стилеров

Drupal выпустил срочные патчи для SQL-инъекции в ядре. Уязвимость уже пытаются эксплуатировать

Drupal выпустил срочные патчи для SQL-инъекции в ядре. Уязвимость уже пытаются эксплуатировать

by masha 25 мая, 2026

CVE-2026-9082 уже проверяют вживую: Drupal предупредил об атаках на сайты с PostgreSQL

Читать далее →

Drupal выпустил срочные патчи для SQL-инъекции в ядре. Уязвимость уже пытаются эксплуатировать

Mythos Preview научился собирать PoC-эксплойты: AI уже не просто ищет баги, а доводит их до атаки

Mythos Preview научился собирать PoC-эксплойты: AI уже не просто ищет баги, а доводит их до атаки

by Маша Даровская 25 мая, 2026

Anthropic Mythos Preview стал одним из первых AI-инструментов, который публично обсуждают уже не как помощника для поиска подозрительного кода, а как систему, способную собирать рабочие proof-of-concept-эксплойты. Cloudflare тестировала модель на более чем 50 внутренних репозиториях в рамках закрытой программы Project …

Читать далее →

Mythos Preview научился собирать PoC-эксплойты: AI уже не просто ищет баги, а доводит их до атаки

TeamPCP и BreachForums устроили конкурс на взлом open source-пакетов

TeamPCP и BreachForums устроили конкурс на взлом open source-пакетов

by Маша Даровская 25 мая, 2026

Киберпреступники превратили взлом open source в конкурс: $1 000 за самый крупный supply chain. Риск — массовые атаки на цепочки поставок

Читать далее →

TeamPCP и BreachForums устроили конкурс на взлом open source-пакетов

Для критической уязвимости NGINX впервые за 18 лет выложили PoC

Для критической уязвимости NGINX впервые за 18 лет выложили PoC

by Маша Даровская 24 мая, 2026

Для критической уязвимости CVE-2026-42945 в NGINX появились технические детали и proof-of-concept-код. Проблема получила CVSS 9.2 и затрагивает ngx_http_rewrite_module — модуль, который используется для переписывания URL, редиректов и обработки правил rewrite, if и set. NGINX уже выпустил исправления в версиях 1.30.1 …

Читать далее →

Для критической уязвимости NGINX впервые за 18 лет выложили PoC

Microsoft закрыла сервис подписи малвар: Fox Tempest продавала «доверенные» сертификаты для вымогателей

Microsoft закрыла сервис подписи малвар: Fox Tempest продавала «доверенные» сертификаты для вымогателей

by masha 24 мая, 2026

Microsoft закрыла SignSpace: сервис превращал малвар в доверенное ПО

Читать далее →

Microsoft закрыла сервис подписи малвар: Fox Tempest продавала «доверенные» сертификаты для вымогателей

FAST16 оказался не шпионом, а инструментом саботажа: вредонос менял результаты ядерных симуляций

FAST16 оказался не шпионом, а инструментом саботажа: вредонос менял результаты ядерных симуляций

by masha 24 мая, 2026

FAST16 менял математику ядерных расчётов: исследователи уточнили цель древнего вредоноса

Читать далее →

FAST16 оказался не шпионом, а инструментом саботажа: вредонос менял результаты ядерных симуляций

Последние новости

Выбор редакции