Угрозы, уязвимости и анализ эксплойтов.

Технический разбор актуальных угроз: от свежих баз CVE и 0-day эксплойтов до анализа малвари и патчей безопасности. Оперативная информация для сисадминов и исследователей ИБ, помогающая вовремя закрыть дыры в софте и защитить инфраструктуру от современных атак.

Уязвимость в Telegram есть в базе ZDI, но с оценкой путаница: мессенджер всё отрицает

В базе Zero Day Initiative появилась запись ZDI-CAN-30207 для Telegram. Но в истории уже возникли расхождения: текущая карточка ZDI показывает CVSS 7,0, а Telegram вообще отрицает наличие критической уязвимости. Разбираем, что подтверждено, а что пока нет.

Читать далее

Обзор уязвимостей 31 марта: CVSS 10.0 в NocoBase, пять ошибок baserCMS, WordPress RCE

by Артем Сафонов

Максимальная оценка CVSS 10.0 для NocoBase: побег из песочницы Node.js vm до root в три строки кода. Японская CMS В baserCMS обнаружены пять ошибок за день, три с инъекцией команд. WordPress Everest Forms Pro уязвим к RCE (CVSS 9.8). Всего …

Читать далее

Новый модуль Roadk1ll: как хакеры превращают один взломанный сервер в точку входа во всю сеть

Обнаружен новый вредоносный модуль Roadk1ll (имплант), использующий WebSocket для скрытого доступа и перемещения внутри корпоративных сетей. Разбираем, как он работает и почему это опасно.

Читать далее

Слайдер с неприятным сюрпризом: у популярного плагина WordPress нашли уязвимость для чтения файлов сервера

У популярного плагина Smart Slider 3 для WordPress обнаружили баг arbitrary file read. Простыми словами объясняем суть проблемы, риски и необходимые действия.

Читать далее

Infinity Stealer атакует macOS через ClickFix: как новый стилер крадёт пароли, ключи и данные разработчиков

На macOS появился новый инфостилер Infinity Stealer. Он распространяется через схему ClickFix: жертве показывают фальшивую страницу “проверки” или “исправления ошибки”, после чего просят открыть Terminal и вставить туда команду. Если пользователь это делает, на устройство попадает вредонос, который собирает пароли, …

Читать далее

Обзор уязвимостей 26 марта: CVSS 10.0 в ORY Oathkeeper, Squid 9.2, уязвимости Plack 12 лет

by Артем Сафонов

Максимальная оценка CVSS 10.0 для прокси авторизации ORY Oathkeeper. Три ошибки в одном обновлении позволяли обойти контроль доступа к API. Squid получил 9.2 за use-after-free. Perl-модуль Plack 12 лет жил с RCE на CVSS 9.8. Всего за день опубликовано 192 …

Читать далее

Обзор уязвимостей 25 марта: Apple и Cisco исправили десятки ошибок, npm-пакеты с CVSS 9.8

by Артем Сафонов

21 уязвимость на всех платформах Apple за один день, включая обход защиты украденного iPhone. Cisco исправила IOS XE полугодовым пакетом, три ошибки без авторизации. Два npm-пакета (node-tesseract-ocr, pdf-image) получили оценку CVSS 9.8: имя файла с метасимволами запускает команду ОС.

Читать далее

Украденный токен Trivy открыл TeamPCP путь в LiteLLM: 500 000 утечек за три часа

by Адриан Ванс

Украденный из Trivy токен дал TeamPCP доступ к публикации LiteLLM на PyPI. Заражённая версия запускалась при каждом старте Python, не только при импорте библиотеки. За три часа зафиксировано 500 000 случаев кражи данных. Jupyter, Ansible, юнит-тесты — всё передавало сведения …

Читать далее

Обзор уязвимостей 24 марта: 42 ошибки Firefox 149, пять нашёл ИИ от Anthropic

by Артем Сафонов

42 ошибки Firefox 149 в одном предупреждении. Шесть позволяют выйти из песочницы, одной вредоносной страницы достаточно. Пять ошибок впервые нашёл ИИ-ассистент Claude от Anthropic. Chrome в тот же день закрыл 8 опасных ошибок. Langflow получила третью RCE за неделю.

Читать далее

Google закрыла восемь опасных ошибок в Chrome 146, пятое обновление безопасности за март

Пятое обновление безопасности Chrome за март. Восемь опасных ошибок в WebAudio, WebGL, Dawn, Fonts и FedCM. Один исследователь нашёл обе ошибки в WebAudio и получил $7 000 за первую. Ни одна из восьми пока не эксплуатируется, но use-after-free и переполнения …

Читать далее