Экстренный патч вне квартального цикла — Oracle считает угрозу слишком острой. CVE-2026-21992 почти дословно повторяет ошибку, которую эксплуатировали в ноябре 2025. Spring Boot закрыла два обхода аутентификации. В FastGPT нашли способ протащить вредоносный Docker-образ.
Читать далее →
Серийные наклейки снимали с настоящих серверов и клеили на муляжи. Аудитор «развлекался» вместо проверки. $2,5 млрд в ИИ-серверах Nvidia ушли в Китай через подставную фирму за 18 месяцев. Сооснователь Super Micro арестован. Акции рухнули на 25%.
Читать далее →
Камера видеонаблюдения в собственном доме стала инструментом кражи $172 млн в биткоинах. Жена сняла на камеру сид-фразу из 24 слов от Trezor, вывела 2 323 BTC на 71 адрес. Судья оценил шансы мужа на возврат как «крайне высокие». Процесс в …
Читать далее →
Контрактный аналитик украл зарплатные ведомости подразделения Siemens, отправил 60 писем с требованием $2,5 млн и подавал вымогательство как борьбу за прозрачность зарплат. Компания заплатила. ФБР нашло его по дебетовым картам матери и сестры на Coinbase.
Читать далее →
MFA не спасает, ключи доступа не спасают, пароль не крадут. 47% атак начинаются с того, что жертва сама выполняет нужное злоумышленнику действие. Push Security разобрала шесть техник. ConsentFix захватывает учётную запись Microsoft одной вставкой URL.
Читать далее →
Три ошибки WordPress с оценками 9.3–9.8 и без патча. Одинаковая SSRF появилась сразу в трёх менеджерах проектов за месяц. ИИ-агент OpenClaw набрал 15 записей о безопасности за март. В автопилоте дронов PX4 переполнение буфера по MAVLink без аутентификации.
Читать далее →
Торговая компания с 59 сотрудниками и выручкой 3,2 млрд руб. претендует на собственную мобильную ОС в реестре. «СКАНТЕХ» продаёт китайские терминалы Urovo и создаёт «МЕФ ОС», чтобы сохранить доступ к госзакупкам и объектам критической инфраструктуры.
Читать далее →
Шесть ошибок iOS, три из них нулевого дня, одна цепочка эксплойтов, три группировки в четырёх странах. DarkSword захватывает iPhone при одном посещении веб-страницы
Читать далее →
Обычный пользователь Ubuntu получает root через взаимодействие двух штатных служб. Qualys TRU нашла ошибку в snap-confine и systemd-tmpfiles. Ни один компонент не сломан по отдельности. Canonical выпустила исправление, окно для атаки составляет 10–30 дней.
Читать далее →
В подборке 104 CVE выделяются SQL-инъекция в ИИ-платформе Spring AI, обход проверки доверия в стандарте ONNX (патча нет, CVSS 9.1) и обход аутентификации в медицинском расширении KiviCare (CVSS 9.8). Инфраструктура ИИ и медицинские данные под ударом.
Читать далее →
Ни одной вредоносной программы, а 95% устройств стёрты. Handala захватила учётную запись администратора Microsoft Intune и отправила команду сброса. Через неделю производство Stryker не восстановлено. Встроенная функция Intune могла предотвратить массовое стирание.
Читать далее →
Пять лет проверяющие FedRAMP не могли подтвердить шифрование в облаке Microsoft для госорганов. Одобрили всё равно. Бывший специалист АНБ с 30-летним стажем назвал это «театром безопасности». ProPublica опубликовала расследование на основе внутренних документов.
Читать далее →
За одни сутки 17 марта мессенджер ограничил доступ к 114 348 каналам и группам. С начала 2026 года заблокировано 10,1 млн сообществ. Таганский суд назначил Telegram штрафов на 35 млн руб. Доля неудачных запросов к доменам достигла 80%.
Читать далее →
Анонимная регистрация доменов .ru, .рф и .su с 1 сентября 2026 запрещена. Закон уже принят Госдумой. Подтверждение личности через Госуслуги обязательно при регистрации и продлении. Что делать владельцам и чем грозит новый порядок регистраторам.
Читать далее →
В дневной подборке 45 CVE выделяются два RCE в SIEM-платформе Wazuh (CVSS 9.1 каждая), утечка ключей шифрования ScreenConnect (9.0), три KVM-ошибки (9.3) и обход шлюза одобрения Apache Airflow. Инструменты защиты сами превращаются в точки входа.
Читать далее →