Партнёры:
Хостинг:
| · | 17.12.2025 | Уязвимость в Binder, подсистеме ядра Linux, написанной на Rust (292 +56) |
|
В вошедшем в состав ядра Linux 6.18 механизме межпроцессного взаимодействия Binder, написанном на языке Rust, устранена уязвимость (CVE-2025-68260). Проблема вызвана состоянием гонки при выполнении операций в блоках unsafe, напрямую работающих с указателями на предыдущий и следующий элементы списка. При успешной эксплуатации уязвимость в Binder ограничивается аварийным завершением и не приводит к повреждению памяти...
| ||
| · | 14.12.2025 | Уязвимость в утилите smb4k, позволяющая получить права root в системе (56 +20) |
|
В утилите smb4k, применяемой в KDE для обнаружения и монтирования SMB-разделов, выявлены уязвимости, позволяющие получить root-доступ к системе. Проблемы устранены в выпуске Smb4K 4.0.5. Проверить состояние новой версии пакета или подготовки исправления в дистрибутивах можно на следующих страницах: Debian, Ubuntu, Fedora, SUSE/openSUSE, Gentoo, Arch и FreeBSD...
| ||
| · | 08.12.2025 | В Rust-репозитории crates.io выявлены четыре вредоносных пакета (141 +28) |
|
Разработчики языка Rust предупредили о выявлении в репозитории crates.io пакетов finch-rust, sha-rust, evm-units и uniswap-utils, содержащих вредоносный код...
| ||
| · | 04.12.2025 | Анализ конфиденциальных данных, захваченных червём Shai-Hulud 2 (52 +24) |
|
Компания Wiz опубликовала результаты анализа следов деятельности червя Shai-Hulud 2, в ходе активности которого в репозитории NPM были опубликованы вредоносные выпуски более 800 пакетов, насчитывающих в сумме более 100 млн загрузок. После установки поражённого пакета, активизировавшийся червь выполняет поиск конфиденциальных данных, публикует новые вредоносные релизы (при обнаружении токена подключения к каталогу NPM) и размещает в открытом доступе найденные в системе конфиденциальные данные через создание новых репозиториев в GitHub...
| ||
| · | 04.12.2025 | Уязвимость в серверных компонентах React, позволяющая выполнить код на сервере (69 +14) ↻ |
|
В серверных компонентах web-фреймворка React (RSC, React Server Components) устранена уязвимость (CVE-2025-55182), позволявшая через отправку запроса к серверному обработчику выполнить произвольный код на сервере. Проблеме присвоен критический уровень опасности (10 из 10). Уязвимость проявляется в экспериментальных компонентах react-server-dom-webpack,...
| ||
| · | 26.11.2025 | Атака на пользователей Blender через вредоносные файлы с 3D-моделями (180 +28) |
|
Исследователи безопасности из компании Morphisec обратили внимание на серию атак против пользователей системы 3D-моделирования Blender, осуществляемую через распространение blend-файлов в популярных каталогах 3D-моделей, таких как CGTrader. Активация вредоносного кода при открытии 3D-модели производится благодаря возможности включения в blend-файлы автоматически запускаемых скриптов на языке Python, предназначенных для автоматизации действий и выполнения расширенных операций, таких как формирование каркаса модели...
| ||
| · | 25.11.2025 | При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакетов (91 +31) ↻ |
|
Зафиксирована вторая атака на пакеты в репозитории NPM, проводимая с использованием модификации самораспространяющегося червя Shai-Hulud, подставляющего вредоносное ПО в зависимости. В результате атаки опубликованы вредоносные выпуски 605 пакетов, насчитывающих в сумме более 100 млн загрузок...
| ||
| · | 22.11.2025 | Уязвимость в libpng, приводящая к переполнению буфера при обработке PNG-изображений (93 +21) |
|
В корректирующем выпуске библиотеки libpng 1.6.51, применяемой в качестве прямой зависимости у около 600 пакетов в Ubuntu, устранены 4 уязвимости, одна из которых (CVE-2025-65018) приводит к записи за границу буфера. Потенциально данная уязвимость позволяет добиться выполнения своего кода при обработке специально оформленных файлов в формате PNG...
| ||
| · | 21.11.2025 | 6 уязвимостей в загрузчике GRUB2, позволяющих обойти UEFI Secure Boot (145 +17) |
|
Опубликован набор патчей с устранением 6 уязвимостей в загрузчике GRUB2, большинство из которых приводит к обращению к памяти после её освобождения (use-after-free). Потенциально выявленные проблемы могут использоваться для обхода механизма верифицированной загрузки UEFI Secure Boot. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE, RHEL, Arch и...
| ||
| · | 19.11.2025 | Разработчики Xubuntu опубликовали отчёт о взломе сайта Xubuntu.org (49 +29) |
|
Разработчики проекта Xubuntu опубликовали отчёт о произошедшем месяц назад взломе сайта Xubuntu.org, в результате которого на странице загрузки дистрибутива была размещена ссылка на архив "Xubuntu-Safe-Download.zip" с вредоносным кодом. Внутри архива под видом инсталлятора Xubuntu распространялся исполняемый файл для платформы Windows, при использовании которого в систему устанавливалось вредоносное ПО, анализирующее данные в буфере обмена и подменяющее адреса криптокошельков...
| ||
| · | 15.11.2025 | Удалённо эксплуатируемая уязвимость в Bluetooth-стеке платформы Android (57 +22) |
|
В ноябрьском бюллетене безопасности Android опубликована информация об уязвимости CVE-2025-48593 в подсистеме Bluetooth, которая затрагивает версии Android с 13 по 16. Уязвимости присвоен критический уровень опасности (9.8 из 10) так как она может привести к удалённому выполнению кода при обработке специально оформленных Bluetooth-пакетов...
| ||
| · | 14.11.2025 | Уязвимость в KDE LightDM Greeter, повышающая привилегии с пользователя lightdm до root (36 +21) |
|
В LightDM KDE Greeter, развиваемой проектом KDE реализации экрана входа в систему, построенной на фреймворке LightDM, выявлена уязвимость (CVE-2025-62876), позволяющая поднять привилегии с непривилегированного пользователя lightdm, под которым запускается LightDM, до пользователя root. Уязвимость устранена в версии lightdm-kde-greeter 6.0.4...
| ||
| · | 12.11.2025 | Обновление sudo-rs 0.2.10 с исправлением двух уязвимостей (144 +19) |
|
Опубликован выпуск проекта sudo-rs 0.2.10, развивающего написанные на языке Rust варианты утилит sudo и su. Новая версия примечательна исправлением двух уязвимостей, которые проявляются среди прочего в дистрибутиве Ubuntu 25.10, в котором sudo-rs задействован вместо утилиты sudo. Примечательно, что до этого кодовая база sudo-rs успешно прошла два независимых аудита безопасности - в августе 2023 года (NLnet) и в августе 2025 года (NGICore)...
| ||
| · | 10.11.2025 | Атака Whisper Leak по определению тематики общения с AI-чатботами через анализ TLS-трафика (43 +16) |
|
Исследователи безопасности из компании Microsoft разработали технику атаки по сторонним каналам Whisper Leak, позволяющую на основе пассивного анализа шифрованного трафика, передаваемого через TLS-соединение, классифицировать темы запросов к сервисам на базе больших языковых моделей. Информации о размере сетевых пакетов и задержках между их передачей оказалось достаточно для определения тем запросов к AI-чатботам с точностью более 98%. На практике предложенный метод может применяться для выявления в транзитном трафике пользователя определённых тем запросов, например, попыток получения информации о незаконных действиях, без расшифровки содержимого...
| ||
| · | 29.10.2025 | Обновление X.Org Server 21.1.20 с устранением 3 уязвимостей (187 +27) |
|
Опубликованы корректирующие выпуски X.Org Server 21.1.19 и DDX-компонента (Device-Dependent X) xwayland 24.1.9, обеспечивающего запуск X.Org Server для организации выполнения X11-приложений в окружениях на базе Wayland. В новых версиях устранены 3 уязвимости, которым присвоен уровень опасности 7.8 из 10. Проблемы потенциально могут быть эксплуатированы для повышения привилегий в системах, в которых X-сервер выполняется с правами root, а также для удалённого выполнения кода в конфигурациях, в которых для доступа используется перенаправление сеанса X11 при помощи SSH...
| ||
| << Предыдущая страница (позже) | ||
| Следующая страница (раньше) >> | ||
|
Закладки на сайте Проследить за страницей |
Created 1996-2026 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |