Новости информационной безопасности

Обычный пользователь Ubuntu получает root через взаимодействие двух штатных служб. Qualys TRU нашла ошибку в snap-confine и systemd-tmpfiles. Ни один компонент не сломан по отдельности. Canonical выпустила исправление, окно для атаки составляет 10–30 дней.

В подборке 104 CVE выделяются SQL-инъекция в ИИ-платформе Spring AI, обход проверки доверия в стандарте ONNX (патча нет, CVSS 9.1) и обход аутентификации в медицинском расширении KiviCare (CVSS 9.8). Инфраструктура ИИ и медицинские данные под ударом.

Ни одной вредоносной программы, а 95% устройств стёрты. Handala захватила учётную запись администратора Microsoft Intune и отправила команду сброса. Через неделю производство Stryker не восстановлено. Встроенная функция Intune могла предотвратить массовое стирание.

Пять лет проверяющие FedRAMP не могли подтвердить шифрование в облаке Microsoft для госорганов. Одобрили всё равно. Бывший специалист АНБ с 30-летним стажем назвал это «театром безопасности». ProPublica опубликовала расследование на основе внутренних документов.

За одни сутки 17 марта мессенджер ограничил доступ к 114 348 каналам и группам. С начала 2026 года заблокировано 10,1 млн сообществ. Таганский суд назначил Telegram штрафов на 35 млн руб. Доля неудачных запросов к доменам достигла 80%.

Анонимная регистрация доменов .ru, .рф и .su с 1 сентября 2026 запрещена. Закон уже принят Госдумой. Подтверждение личности через Госуслуги обязательно при регистрации и продлении. Что делать владельцам и чем грозит новый порядок регистраторам.

В дневной подборке 45 CVE выделяются два RCE в SIEM-платформе Wazuh (CVSS 9.1 каждая), утечка ключей шифрования ScreenConnect (9.0), три KVM-ошибки (9.3) и обход шлюза одобрения Apache Airflow. Инструменты защиты сами превращаются в точки входа.

Мессенджер без интернета, серверов и номера телефона. Columba передаёт сообщения и голос через Bluetooth, Wi-Fi или радиомодули LoRa на расстояние до 10+ км. Открытый код, сквозное шифрование, Android 12+. Бета-версия на GitHub.

Три ошибки в фирменном протоколе Xiaomi позволяют получить root-доступ к камере C400 по Wi-Fi без QR-кода и физического доступа. TASZK Security Labs выложила полный эксплойт и инструмент отвязки от облака на GitHub. Xiaomi не дала публичного ответа.

Максимальное вознаграждение за уязвимости Ethereum выросло вчетверо, до $1 млн. Впервые это постоянный максимум, а не временная акция перед обновлением. Программа покрывает 10 клиентов, два компилятора и весь стек протокола.

252 уязвимости за один день, включая два выхода из песочницы Chrome Mojo. Один принёс исследователю рекордные $250 000, другой использовала APT-группировка TaxOff. В Unraid снова нашли цепочку root-доступа в том же файле, что и шесть лет назад.

Поддельные ИИ-приложения обманом заставляют пользователей macOS вставлять вредоносные команды в терминал. Sophos зафиксировала 50 000+ переходов за дни. Вариант InstallFix нацелен на разработчиков, потому что curl | sh для них привычный паттерн установки.

Рекордные $17,1 млн за год и $811 000 одному исследователю. Google опубликовала отчёт VRP за 2025 год с ростом на 40%. Запущена отдельная AI VRP, а живые bugSWAT-мероприятия принесли 20% всех выплат.

В бета-версии Android 17 закрыт доступ к Accessibility API для утилит, не связанных с доступностью. Банковские трояны Anatsa и Copybara теряют основной канал атаки. Tasker, MacroDroid и dynamicSpot тоже перестанут работать при включённом AAPM.

Международная операция накрыла прокси-ботнет SocksEscort, заразивший 369 000 домашних роутеров в 163 странах. ФБР и Europol изъяли серверы, домены и криптовалюту. Среди поражённых моделей — массовые D-Link, Netgear, TP-Link и Zyxel.