Последние новости: Уязвимости

Рекордные $17,1 млн за год и $811 000 одному исследователю. Google опубликовала отчёт VRP за 2025 год с ростом на 40%. Запущена отдельная AI VRP, а живые bugSWAT-мероприятия принесли 20% всех выплат.

За две недели Claude Opus 4.6 нашёл в Firefox больше критичных уязвимостей, чем живые исследователи за месяцы. 14 из 22 оценены как высокой опасности. Одна получила CVSS 9.8.

Впервые уязвимость с оценкой CVSS 9.8 обнаружил автономный ИИ-агент XBOW. Мартовский Patch Tuesday закрыл 83 уязвимости, включая две 0-day в SQL Server и .NET. Ни одна из них пока не использовалась в атаках.

117 новых CVE за 9 марта, ни одной критической. Из заметного: подмена DLL в UltraVNC с готовым эксплойтом и молчащим разработчиком, плюс две уязвимости в камерах Tiandy, которая игнорирует уведомления с 2017 года.

221 уязвимость за два дня. Критические: RCE в LLM-платформе WeKnora от Tencent (CVSS 9.9) и обход аутентификации в Parse Server (9.3). Четыре уязвимости Netmaker позволяют извлечь приватные ключи WireGuard.

За сутки опубликованы 226 уязвимости. В RustDesk Client до 1.4.5 нашли шесть уязвимостей CVSS 9.1–9.3 на всех платформах, от CSRF через URI-схему до обхода проверки TLS-сертификатов.

За сутки опубликованы 182 уязвимости. Cisco выпустила мартовский пакет обновлений для Secure Firewall с двумя уязвимостями CVSS 10.0 в FMC — обе дают root без аутентификации. Apache ActiveMQ Artemis уязвим для перехвата сообщений (CVSS 9.3), а D-Link DIR-513 получил два …

Google выпустила мартовское обновление Android, закрыв рекордные 129 уязвимостей. Главная из них, CVE-2026-21385 в графическом драйвере Qualcomm уже эксплуатируется в целевых атаках и затрагивает 234 модели чипсетов. Ещё одна критическая уязвимость позволяет удалённо выполнить код без действий пользователя.

Mozilla выпустила Firefox 148 с переключателем для отключения всех ИИ-функций и закрыла 3 уязвимости с выходом из песочницы браузера.

Пока мы боимся сложных государственных хакеров, в Telegram открыто торгуют платформой ZeroDayRAT. Это не просто вирус, а полноценный комбайн для тотальной слежки (MaaS), который может купить любой.

Разбор безопасности Android 17 Beta 1: от 0-day эксплойтов до AI-рисков. Пока пользователи обсуждают новый интерфейс, специалисты по безопасности бьют тревогу. В коде системы обнаружены следы критической RCE-уязвимости в обработке медиа (CVE-2025-21042), а интеграция ИИ открывает новые векторы атак.

Популярный протокол Anthropic для ИИ-агентов стал индустриальным стандартом, но пренебрег безопасностью. Глобальный аудит 8 000 серверов выявил критические уязвимости: от кражи ключей доступа к AWS до удаленного выполнения кода.

CVE-2026-25916: Анатомия обхода санитизации в Roundcube. Безопасность email-контента это бесконечная игра в кошки-мышки с огромными спецификациями HTML и SVG.

Исследователи Tenable обнаружили две критические уязвимости в платформе аналитики Looker (проект получил имя LookOut).

Критическая уязвимость в Cybersecurity AI (CVE-2026-25130). Даже инструменты, созданные для защиты ИИ, могут иметь детские болезни.