Последние новости: Уязвимость

Экстренный патч Chrome 146 закрывает два 0-day с CVSS 8.8 в графической библиотеке Skia и движке V8. Обе уязвимости уже применялись в атаках. Это второй и третий 0-day в Chrome за 2026 год.

За 45 секунд исследователи Ledger извлекли PIN и seed-фразы из шести криптокошельков на Nothing CMF Phone 1. Уязвимость в Boot ROM чипа MediaTek вшита в кремний и не может быть полностью устранена обновлением.

Фотографии из личных чатов веб-версии MAX открываются по прямому URL без авторизации. Удалённые из переписки файлы остаются доступными по ссылке. Пресс-служба MAX назвала публикацию фейком. OWASP считает такую модель ошибкой контроля доступа.

Check Point нашёл три уязвимости в ИИ-помощнике Claude Code от Anthropic. Через подменённый файл настроек в репозитории злоумышленник мог выполнять команды на компьютере разработчика и красть API-ключи — без единого клика жертвы. Все проблемы уже исправлены.

Как опечатка в одном символе кода Firefox привела к удалённому выполнению кода?

Экстренное обновление iOS 26.3 закрывает уязвимость CVE-2026-20700, которую хакеры использовали для установки шпионского ПО на iPhone.

Уязвимость в обработке CSS уже эксплуатировалась в реальных атаках. Google выпустила экстренное обновление.

Уязвимость с рейтингом 9.8: Фундамент корпоративного ИИ дал трещину Библиотека Unstructured.io, которую используют 87% компаний из Fortune 1000 (включая Google и Amazon), оказалась критически уязвимой.

В популярных шлюзах безопасности Zyxel (ATP, USG FLEX) найдена уязвимость, позволяющая выполнять системные команды через консоль (CLI).

В n8n нашли способ обойти защиту песочницы. Уязвимость CVE-2026-25049 позволяет выполнять системные команды через обычные выражения в сценариях.

Группировка APT28 (Fancy Bear) поставила рекорд скорости. Свежая уязвимость в Microsoft Office (CVE-2026-21509) была превращена в боевой эксплойт менее чем за 72 часа.

Разработчики Django закрыли опасную уязвимость CVE-2025-64460. Неэффективный парсинг XML позволяет «повесить» приложение одним запросом (DoS)

Критическая ошибка позволяет обойти изоляцию проектов. Разработчики vCluster выпустили экстренное обновление, закрывающее уязвимость CVE-2026-22806 с рейтингом 9,1 баллов по CVSS.

Внеплановый патч Microsoft: уязвимость CVE-2026-21509 атакует Office без макросов Microsoft предупреждает о новой уязвимости нулевого дня, которая затрагивает почти все актуальные версии офисного пакета.

Атаки начались всего через несколько часов после публикации эксплойта. Разбираем механику взлома через сервис phMonitor, индикаторы компрометации (IoC) от Defused и почему патчить нужно немедленно.