Последние новости: 0-day

В Chrome срочно устранили ещё один zero-day: Google подтвердила атаки в реальном мире

PTC предупредила о критической RCE-уязвимости в Windchill и FlexPLM

Шесть ошибок iOS, три из них нулевого дня, одна цепочка эксплойтов, три группировки в четырёх странах. DarkSword захватывает iPhone при одном посещении веб-страницы

Впервые уязвимость с оценкой CVSS 9.8 обнаружил автономный ИИ-агент XBOW. Мартовский Patch Tuesday закрыл 83 уязвимости, включая две 0-day в SQL Server и .NET. Ни одна из них пока не использовалась в атаках.

Google выпустила мартовское обновление Android, закрыв рекордные 129 уязвимостей. Главная из них, CVE-2026-21385 в графическом драйвере Qualcomm уже эксплуатируется в целевых атаках и затрагивает 234 модели чипсетов. Ещё одна критическая уязвимость позволяет удалённо выполнить код без действий пользователя.

Питер Уильямс получил 87 месяцев тюрьмы за кражу 8 эксплойтов из L3Harris Trenchant и продажу брокеру Operation Zero.

В профильном сообществе обсуждают заявление исследователя mufeedvh об обнаружении критических уязвимостей в React и Node.js с помощью ИИ-агентов.

Внеплановый патч Microsoft: уязвимость CVE-2026-21509 атакует Office без макросов Microsoft предупреждает о новой уязвимости нулевого дня, которая затрагивает почти все актуальные версии офисного пакета.

Первый Patch Tuesday 2026 года оказался масштабным: Microsoft закрыла сразу 114 брешей в безопасности. Главная головная боль администраторов - уязвимость нулевого дня в диспетчере окон (DWM), которую хакеры уже используют для обхода защиты памяти.

Мессенджер Max, позиционировавший себя как «Убийца Telegram» с идеальной защитой, полностью скомпрометирован спустя год после запуска. Хакер утверждает, что получил Root-доступ через уязвимость в обработке картинок и выгрузил всё: от переписок и телефонов 15 млн пользователей до SSH-ключей разработчиков.

Отчет ForeScout Vedere Labs фиксирует рост 0-day атак на 46% в первом полугодии 2025 и главное, окно до эксплуатации сократилось до часов. Вход всё чаще через edge и IoT.

Google экстренно закрыла опасную 0-day-уязвимость в движке V8 для Chrome — и сделала это не просто так, а потому что баг уже активно эксплуатируется в реальных атаках. Речь идёт о CVE-2025-6554 — типичная, но крайне неприятная уязвимость типа type confusion.