·	28.12.2025	Уязвимости в GnuPG, позволяющие обойти верификацию и выполнить свой код (162 +14)
	На проходящей в Германии конференции 39C3 (Chaos Communication Congress) раскрыты детали о 12 ранее неизвестных и остающихся неисправленными (0-day) уязвимостях в инструментарии GnuPG (GNU Privacy Guard), предоставляющем совместимые со стандартами OpenPGP и S/MIME утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей. Наиболее опасные уязвимости позволяют обойти проверку по цифровой подписи и добиться выполнения кода при обработке шифрованных данных в ASCII-представлении (ASCII Armor). Рабочие прототипы эксплоитов и патчи обещают опубликовать позднее. CVE-идентификаторы пока не присвоены... (162 +14) обсуждение | весь текст
·	22.12.2025	Удалённая root-уязвимость в обработчике автоконфигурации IPv6 во FreeBSD (144 +17)
	В применяемых во FreeBSD фоновом процессе rtsold и утилите rtsol выявлена уязвимость (CVE-2025-14558), позволяющая добиться удалённого выполнения кода с правами root через отправку специально оформленного пакета c анонсом IPv6-маршрутизатора. RA-сообщения (Router Advertisement), через которые эксплуатируется уязвимость, не маршрутизируются и должны отбрасываться маршрутизаторами. Для совершения атаки злоумышленник должен иметь возможность отправки специально оформленного пакета с системы, находящейся в одном сетевом сегменте с уязвимым хостом... (144 +17) обсуждение | весь текст
·	18.12.2025	На соревновании ZeroDay Cloud продемонстрировано 11 успешных атак на Redis, PostgreSQL, MariaDB и ядро Linux (31 +20)
	Поведены итоги соревнований ZeroDay Cloud, проведённых на конференции Black Hat Europe и нацеленных на выявление уязвимостей в открытом ПО, применяемом в облачных окружениях. В ходе мероприятия было продемонстрировано 11 ранее неизвестных уязвимостей в Redis, PostgreSQL, MariaDB, ядре Linux и Grafana. Размер выплаченных вознаграждений составил 320 тысяч долларов при общем заявленном призовом фонде в 4.5 млн долларов... (31 +20) обсуждение | весь текст
·	17.12.2025	Обновление почтового сервера Exim 4.99.1 с устранением уязвимости (49 +7)
	Опубликован корректирующий выпуск почтового сервера Exim 4.99.1, в котором устранена уязвимость (CVE-2025-67896), позволяющая удалённому атакующему повредить содержимое памяти вне выделенного буфера. Потенциально проблема может использоваться для удалённого выполнения кода на сервере, но рабочий эксплоит пока не подготовлен... (49 +7) обсуждение | весь текст
·	17.12.2025	Уязвимость в Binder, подсистеме ядра Linux, написанной на Rust (285 +54)
	В вошедшем в состав ядра Linux 6.18 механизме межпроцессного взаимодействия Binder, написанном на языке Rust, устранена уязвимость (CVE-2025-68260). Проблема вызвана состоянием гонки при выполнении операций в блоках unsafe, напрямую работающих с указателями на предыдущий и следующий элементы списка. При успешной эксплуатации уязвимость в Binder ограничивается аварийным завершением и не приводит к повреждению памяти... (285 +54) обсуждение | весь текст
·	14.12.2025	Уязвимость в утилите smb4k, позволяющая получить права root в системе (56 +20)
	В утилите smb4k, применяемой в KDE для обнаружения и монтирования SMB-разделов, выявлены уязвимости, позволяющие получить root-доступ к системе. Проблемы устранены в выпуске Smb4K 4.0.5. Проверить состояние новой версии пакета или подготовки исправления в дистрибутивах можно на следующих страницах: Debian, Ubuntu, Fedora, SUSE/openSUSE, Gentoo, Arch и FreeBSD... (56 +20) обсуждение | весь текст
·	08.12.2025	В Rust-репозитории crates.io выявлены четыре вредоносных пакета (141 +28)
	Разработчики языка Rust предупредили о выявлении в репозитории crates.io пакетов finch-rust, sha-rust, evm-units и uniswap-utils, содержащих вредоносный код... (141 +28) обсуждение | весь текст
·	04.12.2025	Анализ конфиденциальных данных, захваченных червём Shai-Hulud 2 (52 +24)
	Компания Wiz опубликовала результаты анализа следов деятельности червя Shai-Hulud 2, в ходе активности которого в репозитории NPM были опубликованы вредоносные выпуски более 800 пакетов, насчитывающих в сумме более 100 млн загрузок. После установки поражённого пакета, активизировавшийся червь выполняет поиск конфиденциальных данных, публикует новые вредоносные релизы (при обнаружении токена подключения к каталогу NPM) и размещает в открытом доступе найденные в системе конфиденциальные данные через создание новых репозиториев в GitHub... (52 +24) обсуждение | весь текст
·	04.12.2025	Уязвимость в серверных компонентах React, позволяющая выполнить код на сервере (68 +14) ↻
	В серверных компонентах web-фреймворка React (RSC, React Server Components) устранена уязвимость (CVE-2025-55182), позволявшая через отправку запроса к серверному обработчику выполнить произвольный код на сервере. Проблеме присвоен критический уровень опасности (10 из 10). Уязвимость проявляется в экспериментальных компонентах react-server-dom-webpack,... (68 +14) ↻ обсуждение | весь текст
·	26.11.2025	Атака на пользователей Blender через вредоносные файлы с 3D-моделями (180 +28)
	Исследователи безопасности из компании Morphisec обратили внимание на серию атак против пользователей системы 3D-моделирования Blender, осуществляемую через распространение blend-файлов в популярных каталогах 3D-моделей, таких как CGTrader. Активация вредоносного кода при открытии 3D-модели производится благодаря возможности включения в blend-файлы автоматически запускаемых скриптов на языке Python, предназначенных для автоматизации действий и выполнения расширенных операций, таких как формирование каркаса модели... (180 +28) обсуждение | весь текст
·	25.11.2025	При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакетов (91 +31) ↻
	Зафиксирована вторая атака на пакеты в репозитории NPM, проводимая с использованием модификации самораспространяющегося червя Shai-Hulud, подставляющего вредоносное ПО в зависимости. В результате атаки опубликованы вредоносные выпуски 605 пакетов, насчитывающих в сумме более 100 млн загрузок... (91 +31) ↻ обсуждение | весь текст
·	22.11.2025	Уязвимость в libpng, приводящая к переполнению буфера при обработке PNG-изображений (93 +21)
	В корректирующем выпуске библиотеки libpng 1.6.51, применяемой в качестве прямой зависимости у около 600 пакетов в Ubuntu, устранены 4 уязвимости, одна из которых (CVE-2025-65018) приводит к записи за границу буфера. Потенциально данная уязвимость позволяет добиться выполнения своего кода при обработке специально оформленных файлов в формате PNG... (93 +21) обсуждение | весь текст
·	21.11.2025	6 уязвимостей в загрузчике GRUB2, позволяющих обойти UEFI Secure Boot (145 +17)
	Опубликован набор патчей с устранением 6 уязвимостей в загрузчике GRUB2, большинство из которых приводит к обращению к памяти после её освобождения (use-after-free). Потенциально выявленные проблемы могут использоваться для обхода механизма верифицированной загрузки UEFI Secure Boot. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE, RHEL, Arch и... (145 +17) обсуждение | весь текст
·	19.11.2025	Разработчики Xubuntu опубликовали отчёт о взломе сайта Xubuntu.org (49 +29)
	Разработчики проекта Xubuntu опубликовали отчёт о произошедшем месяц назад взломе сайта Xubuntu.org, в результате которого на странице загрузки дистрибутива была размещена ссылка на архив "Xubuntu-Safe-Download.zip" с вредоносным кодом. Внутри архива под видом инсталлятора Xubuntu распространялся исполняемый файл для платформы Windows, при использовании которого в систему устанавливалось вредоносное ПО, анализирующее данные в буфере обмена и подменяющее адреса криптокошельков... (49 +29) обсуждение | весь текст
·	15.11.2025	Удалённо эксплуатируемая уязвимость в Bluetooth-стеке платформы Android (57 +22)
	В ноябрьском бюллетене безопасности Android опубликована информация об уязвимости CVE-2025-48593 в подсистеме Bluetooth, которая затрагивает версии Android с 13 по 16. Уязвимости присвоен критический уровень опасности (9.8 из 10) так как она может привести к удалённому выполнению кода при обработке специально оформленных Bluetooth-пакетов... (57 +22) обсуждение | весь текст
Следующая страница (раньше) >>