/ Безопасность
	- Виртуальные серверы и изолированные окружения
	- Квоты, ограничения
	- Firewall
	- Шифрование, SSH, SSL
	- Приватность
	- Вирусы, вредоносное ПО и спам
	- Исследования
	-       Атаки на инфраструктуры
	-       Методы атак
	-       Механизмы защиты
	-       Проблемы с криптографией
	- Локальные уязвимости
	-       Уязвимости в маршрутизаторах и оборудовании
	-       Удалённые уязвимости
	-       Уязвимости в процессорах
	- Взломы
·	24.08.2025	Атака на браузерные дополнения с менеджерами паролей, использующая кликджекинг (68 +20)
	На конференции DEF CON 33 представлен метод атаки на браузерные дополнения, подставляющие свои элементы интерфейса в просматриваемую страницу. Применение атаки к дополнениям с менеджерами паролей может привести к утечке хранимой в менеджерах паролей информации, такой как параметры аутентификации, параметры кредитных карт, персональные данные и одноразовые пароли для двухфакторной аутентификации. Проблема затрагивает все протестированные менеджеры паролей, включая 1Password, Bitwarden, LastPass, KeePassXC-Browser, NordPass, ProtonPass и Keeper... (68 +20) обсуждение | весь текст
·	22.08.2025	Проблемы с доступностью инфраструктуры Arch Linux из-за DDoS-атаки (24 +7)
	Разработчики дистрибутива Arch Linux сообщили о продолжающейся с 16 августа DDoS-атаке, в результате которой некоторые сервисы проекта периодически оказываются недоступны. Наблюдаются проблемы c работой основного сайта, репозитория AUR, Wiki, форума и платформы GitLab. Сведения о технических деталях атаки и предпринятых методах защиты пока не раскрываются, так как атака всё ещё продолжается... (24 +7) обсуждение | весь текст
·	21.08.2025	В репозитории PyPI реализована блокировка email с освобождёнными доменами (37 +14)
	Разработчики репозитория Python-пакетов PyPI (Python Package Index) реализовали защиту от захвата проектов путём покупки освобождённых доменов, указанных в параметрах учётных записей. Атака сводится к тому, что атакующие выискивают учётные записи, привязанные к email с просроченными доменами, после чего регистрируют освобождённый домен на себя, перенаправляют почтовый трафик на свой сервер и, получив контроль над email, инициируют процесс восстановления забытого пароля. В 2022 году данным способом был получен контроль за Python-пакетом ctx... (37 +14) обсуждение | весь текст
·	18.08.2025	Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за пределы базового каталога (62 +18)
	В NPM-пакете tar-fs выявлена... (62 +18) обсуждение | весь текст
·	14.08.2025	Релиз системы виртуализации VirtualBox 7.2 (78 +13)
	Компания Oracle опубликовала релиз системы виртуализации VirtualBox 7.2. Готовые установочные пакеты доступны для RHEL 8/9/10, Fedora 36-42, openSUSE 15.6, Ubuntu 22.04/24.04/24.10, Debian 11/12, macOS и Windows... (78 +13) обсуждение | весь текст
·	14.08.2025	Уязвимость в реализациях протокола HTTP/2, упрощающая проведение DoS-атак (89 +16)
	Представлена новая техника атаки на реализации протокола HTTP/2, упрощающая проведение атак для вызова отказа в обслуживании через исчерпание ресурсов сервера. Уязвимость получила кодовое имя MadeYouReset и позволяет через манипуляции управляющими кадрами HTTP/2 наводнить сервер большим количеством запросов в обход установленных ограничений... (89 +16) обсуждение | весь текст
·	12.08.2025	Выпуск Whonix 17.4, дистрибутива для анонимных коммуникаций (60 +14)
	Доступен выпуск дистрибутива Whonix 17.4, нацеленного на предоставление гарантированной анонимности, безопасности и защиты частной информации. Дистрибутив основан на Debian GNU/Linux и использует Tor для обеспечения анонимности. Наработки проекта распространяются под лицензией GPLv3. Для загрузки подготовлены образы виртуальных машин в формате ova для VirtualBox (2.3 ГБ c Xfce и 1.5 ГБ консольный), которые могут быть сконвертирован для использования с гипервизором KVM... (60 +14) обсуждение | весь текст
·	11.08.2025	Уязвимость в ядре Linux, позволяющая обойти sandbox-изоляцию Chrome (57 +26)
	Исследователи безопасности из компании Google выявили в ядре Linux уязвимость (CVE-2025-38236), позволяющую повысить свои привилегии в системе. Среди прочего уязвимость даёт возможность обойти механизм sandbox-изоляции, применяемый в Google Chrome, и добиться выполнения кода на уровне ядра при выполнении кода в контексте изолированного процесса рендеринга Chrome (например, при эксплуатации другой уязвимости в Chrome). Ошибка устранена в обновлениях ядра Linux 6.1.143, 6.6.96, 6.12.36 и 6.15.5, но эксплуатация уязвимости возможна только начиная с ядра Linux 6.9. Для загрузки доступен прототип эксплоита... (57 +26) обсуждение | весь текст
·	04.08.2025	Пакет StarDict в Debian отправляет выделенный текст на внешние серверы (410 +70)
	В предлагаемом в репозитории Debian Testing (будущий релиз Debian 13) пакете StarDict, реализующем интерфейс для поиска в словарях, выявлена проблема с конфиденциальностью - в конфигурации по умолчанию приложение отправляет автоматически помещаемый в буфер обмена выделенный текст (x11 PRIMARY selection) на внешние серверы. Достаточно в любом приложении выделить отрывок текста, и он сразу отправляется без шифрования по протоколу HTTP на китайские серверы online-словарей dict.youdao.com и dict.cn. Проблема проявляется только при работе в окружениях на базе протокола X11, при использовании Wayland по умолчанию применяется изоляция буфера обмена... (410 +70) обсуждение | весь текст
·	04.08.2025	В Clang намерены добавить режим усиленной безопасности (250 +19)
	Аарон Баллман (Aaron Ballman), главный сопровождающий компилятор Clang и участник команд разработки стандартов WG21 (C++) и WG14 (C), начал обсуждение добавления в компилятор Clang режима усиления безопасности. Новый режим позволит разом активировать набор опций для усиления защиты по аналогии с добавленным в GCC 14 флагом "-fhardened", при котором включаются опции "-D_FORTIFY_SOURCE=3 -D_GLIBCXX_ASSERTIONS -ftrivial-auto-var-init=zero -fPIE -pie -Wl,-z,relro,-z,now -fstack-protector-strong -fstack-clash-protection -fcf-protection=full"... (250 +19) обсуждение | весь текст
·	04.08.2025	На соревновании Pwn2Own готовы выплатить миллион долларов за уязвимость в WhatsApp (55 +12)
	Проект Zero Day Initiative (ZDI), предоставляющий денежные вознаграждения за сообщения о неисправленных уязвимостях, анонсировал проведение соревнований Pwn2Own Ireland 2025, которые состоятся в середине октября в Ирландии. Участникам предложено продемонстрировать эксплоиты для ранее неизвестных уязвимостей (0-day) в смартфонах, мессенджерах, беспроводных точках доступа, устройствах для умного дома, принтерах, сетевых хранилищах, системах видеонаблюдения и устройствах виртуальной /дополненной реальности. Атака должна быть проведена на самые свежие программы и операционные системы со всеми доступными обновлениями и в конфигурации по умолчанию... (55 +12) обсуждение | весь текст
·	03.08.2025	Достижение выполнения кода при контроле над текстом комментария в Python-скрипте (86 +29)
	Один из участников соревнования UIUCTF 2025, подробно разобрал, как ему удалось выполнить задание, требующее добиться исполнения своего кода на сервере, имея лишь возможность изменения содержимого текста комментария в коде... (86 +29) обсуждение | весь текст
·	02.08.2025	Mozilla предупредила о фишинг-атаке на разработчиков дополнений к Firefox (19 +4)
	Компания Mozilla сообщила о выявлении фишинг-атаки на разработчиков дополнений к Firefox. Как и в случае недавних атак на сопровождающих пакеты в репозиториях PyPI и NPM, участники каталога дополнений AMO (addons.mozilla.org) стали получать письма, стилизованные под уведомления от Mozilla и информирующие о необходимости обновления информации в профиле для продолжения доступа к возможностям каталога... (19 +4) обсуждение | весь текст
·	01.08.2025	В AUR-репозитории Arch Linux выявлены ещё 6 вредоносных пакетов (137 +19)
	В репозитории AUR (Arch User Repository), применяемом в Arch Linux для распространения пакетов от сторонних разработчиков, продолжилась публикация вредоносного кода, интегрированного в пакеты с неофициальными сборками браузеров. В дополнение к выявленным две недели назад вредоносным пакетам firefox-patch-bin, librewolf-fix-bin и zen-browser-patched-bin, в AUR был добавлен пакет google-chrome-stable, также содержащий изменение, устанавливающее вредоносный компонент, предоставляющий удалённый доступ к системе... (137 +19) обсуждение | весь текст
·	01.08.2025	Представлен Proton Authenticator, генератор одноразовых паролей для двухфакторной аутентификации (114 +30)
	Швейцарская компания Proton AG, развивающая сервисы Proton Mail, Proton Drive и Proton VPN, представила открытое приложение Proton Authenticator, предназначенное для аутентификации при помощи одноразовых паролей с ограниченным сроком действия, генерируемых при помощи алгоритма TOTP (Time-based One-Time Password). Proton Authenticator может применяться как более функциональная замена проприетарным аутентификаторам, таким как Google Authenticator, Microsoft Authenticator, Authy и... (114 +30) обсуждение | весь текст
Следующая страница (раньше) >>