·	14.08.2025	Уязвимость в реализациях протокола HTTP/2, упрощающая проведение DoS-атак (89 +16)
	Представлена новая техника атаки на реализации протокола HTTP/2, упрощающая проведение атак для вызова отказа в обслуживании через исчерпание ресурсов сервера. Уязвимость получила кодовое имя MadeYouReset и позволяет через манипуляции управляющими кадрами HTTP/2 наводнить сервер большим количеством запросов в обход установленных ограничений... (89 +16) обсуждение | весь текст
·	11.08.2025	Уязвимость в ядре Linux, позволяющая обойти sandbox-изоляцию Chrome (57 +27)
	Исследователи безопасности из компании Google выявили в ядре Linux уязвимость (CVE-2025-38236), позволяющую повысить свои привилегии в системе. Среди прочего уязвимость даёт возможность обойти механизм sandbox-изоляции, применяемый в Google Chrome, и добиться выполнения кода на уровне ядра при выполнении кода в контексте изолированного процесса рендеринга Chrome (например, при эксплуатации другой уязвимости в Chrome). Ошибка устранена в обновлениях ядра Linux 6.1.143, 6.6.96, 6.12.36 и 6.15.5, но эксплуатация уязвимости возможна только начиная с ядра Linux 6.9. Для загрузки доступен прототип эксплоита... (57 +27) обсуждение | весь текст
·	05.08.2025	В Proton Authenticator для iOS выявлено оседание секретных ключей в отладочном логе (46 +18)
	В представленном на прошлой неделе приложении Proton Authenticator, применяемом для аутентификации при помощи одноразовых паролей, выявлена проблема с конфиденциальностью - в сборках для мобильной платформы iOS забыли отключить детализированный отладочный лог, в котором открытым текстом сохранялись исходные секретные ключи для генерации одноразовых паролей. Подобный лог сводил на нет шифрование ключей и ограничение к ним доступа по PIN-коду или биометрической аутентификации. Проблема устранена в обновлении 1.1.1. В сборках для Android в лог сохранялся только идентификатор ключа, а не сам ключ... (46 +18) обсуждение | весь текст
·	04.08.2025	Пакет StarDict в Debian отправляет выделенный текст на внешние серверы (411 +72)
	В предлагаемом в репозитории Debian Testing (будущий релиз Debian 13) пакете StarDict, реализующем интерфейс для поиска в словарях, выявлена проблема с конфиденциальностью - в конфигурации по умолчанию приложение отправляет автоматически помещаемый в буфер обмена выделенный текст (x11 PRIMARY selection) на внешние серверы. Достаточно в любом приложении выделить отрывок текста, и он сразу отправляется без шифрования по протоколу HTTP на китайские серверы online-словарей dict.youdao.com и dict.cn. Проблема проявляется только при работе в окружениях на базе протокола X11, при использовании Wayland по умолчанию применяется изоляция буфера обмена... (411 +72) обсуждение | весь текст
·	03.08.2025	Достижение выполнения кода при контроле над текстом комментария в Python-скрипте (86 +30)
	Один из участников соревнования UIUCTF 2025, подробно разобрал, как ему удалось выполнить задание, требующее добиться исполнения своего кода на сервере, имея лишь возможность изменения содержимого текста комментария в коде... (86 +30) обсуждение | весь текст
·	02.08.2025	Mozilla предупредила о фишинг-атаке на разработчиков дополнений к Firefox (19 +4)
	Компания Mozilla сообщила о выявлении фишинг-атаки на разработчиков дополнений к Firefox. Как и в случае недавних атак на сопровождающих пакеты в репозиториях PyPI и NPM, участники каталога дополнений AMO (addons.mozilla.org) стали получать письма, стилизованные под уведомления от Mozilla и информирующие о необходимости обновления информации в профиле для продолжения доступа к возможностям каталога... (19 +4) обсуждение | весь текст
·	01.08.2025	В AUR-репозитории Arch Linux выявлены ещё 6 вредоносных пакетов (137 +20)
	В репозитории AUR (Arch User Repository), применяемом в Arch Linux для распространения пакетов от сторонних разработчиков, продолжилась публикация вредоносного кода, интегрированного в пакеты с неофициальными сборками браузеров. В дополнение к выявленным две недели назад вредоносным пакетам firefox-patch-bin, librewolf-fix-bin и zen-browser-patched-bin, в AUR был добавлен пакет google-chrome-stable, также содержащий изменение, устанавливающее вредоносный компонент, предоставляющий удалённый доступ к системе... (137 +20) обсуждение | весь текст
·	31.07.2025	Перехвачены 4 учётные записи в PyPI и выпущены вредоносные релизы num2words (43 +4)
	Раскрыта информация о жертвах фишинга, о котором на днях предупреждали администраторы репозитория Python-пакетов PyPI (Python Package Index). В результате рассылки сообщений с уведомлением о необходимости подтвердить свой email, которые ссылались на поддельный сайт pypj.org (буква "j" вместо "i"), удалось захватить учётные записи 4 сопровождающих... (43 +4) обсуждение | весь текст
·	31.07.2025	Уязвимость в SUSE Manager, позволяющая выполнять root-операции без аутентификации (36 +5)
	В инструментарии SUSE Manager, предназначенном для централизованного управления IT-инфраструктурой, в которой используются различные дистрибутивы Linux, выявлена уязвимость (CVE-2025-46811), позволяющая без аутентификации выполнять команды на любых системах, обслуживаемых через SUSE Manager. Команды выполняются с правами root, что позволяет получить полный контроль над всей инфраструктурой. Проблеме присвоен критический уровень опасности (9.3 из 10)... (36 +5) обсуждение | весь текст
·	30.07.2025	Фишинг-атака на сопровождающих Python-пакеты в репозитории PyPI (37 +6)
	Администраторы репозитория Python-пакетов PyPI (Python Package Index) предупредили о выявлении фишинг-атаки, напоминающей недавнюю атаку на сопровождающих пакеты в репозитории NPM. Злоумышленники рассылали сообщения от имени PyPI с уведомлением о необходимости подтвердить свой email... (37 +6) обсуждение | весь текст
·	27.07.2025	NPM-пакет Stylus был по ошибке заблокирован из-за подозрений в наличии вредоносного кода (34 +8)
	Администраторы репозитория NPM по ошибке заблокировали пакет Stylus, распознав в нём несуществующее вредоносное ПО. Через 12 часов после отправки жалобы в NPM проблема была отмечена как не соответствующая действительности, объявление о наличии вредоносного ПО было отозвано, а пакет восстановлен в репозитории... (34 +8) обсуждение | весь текст
·	21.07.2025	Фишинг позволил получить контроль над несколькими популярными NPM-пакетами (72 +19) ↻
	Зафиксирована фишинг-атака на сопровождающих JavaScript-библиотеки, в ходе которой от имени сервиса NPM было разослано сообщение, уведомляющее о необходимости подтвердить свой email. Проведённая атака позволила злоумышленникам... (72 +19) ↻ обсуждение | весь текст
·	19.07.2025	В AUR-репозитории Arch Linux выявлены вредоносные пакеты (167 +41)
	В репозитории AUR (Arch User Repository), применяемом в Arch Linux для распространения пакетов от сторонних разработчиков, выявлены три вредоносных пакета firefox-patch-bin, librewolf-fix-bin и zen-browser-patched-bin, содержащие модифицированные сборки браузеров Firefox, Librewolf и Zen. Имена пакетов напоминали легитимные пакеты firefox-bin,... (167 +41) обсуждение | весь текст
·	17.07.2025	Каталог PyPI заблокировал регистрацию с email-адресов inbox.ru из-за спама (39 +16)
	Разработчики репозитория Python-пакетов PyPI (Python Package Index) сообщили о введении блокировки использования почтовых адресов @inbox.ru при регистрации новых проектов и прикрепления дополнительных email к существующим проектам. Причиной названа волна спама, в ходе которой было заведено более 250 учётных записей и создано более 1500 проектов, вводящих пользователей в заблуждение и потенциально представляющих угрозу безопасности... (39 +16) обсуждение | весь текст
·	16.07.2025	Уязвимости в Java SE, MySQL, VirtualBox и других продуктах Oracle (36 +9)
	Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В июльском обновлении устранено 309 уязвимостей... (36 +9) обсуждение | весь текст
<< Предыдущая страница (позже)
Следующая страница (раньше) >>