Опрос
|
реклама
Быстрый переход
Anthropic признала уязвимость Claude Cowork и переложила риски на пользователей
17.01.2026 [14:04],
Владимир Мироненко
Компания Anthropic, представившая на этой неделе в качестве предварительной версии для исследований новый режим ИИ-помощника Claude под названием Claude Cowork, продолжает игнорировать уязвимость продукта к атакам промпт-инъекций (Prompt Injection), о которой хорошо осведомлена, пишет The Register. 
Источник изображения: Steve Johnson/unsplash.com Для запуска атаки пользователю достаточно подключить Cowork к локальной папке, содержащей конфиденциальную информацию, загрузить документ со скрытой промпт-инъекцией, и, когда Cowork проанализирует эти файлы, сработает внедрённая подсказка, ведущая к созданию вредоносного контента, несанкционированному доступу к личным данным или нарушению установленных ограничений. Данная уязвимость существует в самом Claude, о чём компания PromptArmor, специализирующаяся на обнаружении уязвимостей в ИИ, предупредила Anthropic ещё в октябре прошлого года. Тогда Anthropic в итоге признала, что атаку промпт-инъекцией можно использовать для того, чтобы обманом заставить её API эксфильтровать данные, поэтому пользователям следует быть осторожными с тем, какие источники они подключают к ИИ-боту. Вместе с тем, когда исследователи спросили, собирается ли Anthropic предпринять какие-либо действия — например, внедрить проверки API, чтобы убедиться, что конфиденциальные файлы пользователя не передаются на другой аккаунт через API, — компания попросту не ответила. Anthropic утверждает, что разработала сложные средства защиты от промпт-инъекций, однако безопасность агентов — то есть задача обеспечения безопасности реальных действий Claude — «по-прежнему является активной областью развития в отрасли». «Эти риски не новы для Cowork, но, возможно, вы впервые используете более продвинутый инструмент, выходящий за рамки простого диалога», — сообщила компания, отмечая, что Cowork имеет гораздо более широкий круг пользователей, чем анонсированные ранее инструменты. В связи с этим Anthropic призвала пользователей избегать подключения Cowork к конфиденциальным документам, ограничивать использование расширения Chrome доверенными сайтами и отслеживать «подозрительные действия, которые могут указывать на промпт-инъекцию». Как отметил разработчик и специалист по проблемам внедрения SQL-запросов Саймон Уиллисон (Simon Willison) в своём обзоре Cowork, требовать от людей, не являющихся программистами, отслеживать «подозрительные действия, которые могут указывать на внедрение SQL-запросов», попросту нереалистично. В ответ на запрос The Register о том, какие меры принимаются для решения проблемы внедрения запросов через API, которая теперь присутствует уже в двух продуктах компании, Anthropic заявила, что внедрение запросов — это проблема, затрагивающая всю отрасль, и над её решением работают все участники ИИ-рынка. Всё это свидетельствует о том, что Anthropic рассматривает риски использования Cowork как ответственность самих пользователей. Вместе с тем представитель Anthropic сообщил, что компания также работает над способами минимизации внедрения запросов в своих продуктах, в том числе с помощью виртуальной машины в Cowork, предназначенной для ограничения доступа платформы к конфиденциальным файлам и каталогам. Anthropic заявила, что планирует выпустить обновление для виртуальной машины Cowork с целью улучшения её взаимодействия с уязвимым API, а также что в будущем будут внесены и другие изменения для повышения безопасности при использовании нового инструмента. Миллионы наушников Sony, JBL, Xiaomi и других брендов оказались под угрозой взлома — в Google Fast Pair нашли уязвимость
15.01.2026 [17:02],
Павел Котов
Эксперты в области кибербезопасности из Лёвенского университета (Бельгия) обнаружили уязвимости у аудиоустройств с поддержкой протокола Google Fast Pair на основе Bluetooth. Гипотетический злоумышленник может использовать их для прослушивания и слежки за владельцем. 
Источник изображений: Daniel Romero / unsplash.com Google разработала протокол Fast Pair, чтобы ускорить процесс подключения беспроводных наушников, гарнитур и колонок к устройствам под управлением Android и ChromeOS. Как оказалось, с таким же комфортом к уязвимой аудиопериферии могут подключаться и сторонние лица: управлять ей, а в некоторых случаях и следить за местоположением владельца. Под угрозой даже владельцы Apple iPhone, которые никогда не пользовались продуктами Google. Бельгийские учёные обнаружили уязвимости в 17 моделях аудиопериферии с поддержкой Fast Pair производства 10 брендов: Sony, Jabra, JBL, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech и самой Google. Для развёртывания атаки, получившей название WhisperPair, достаточно находиться в зоне действия Bluetooth этих устройств — около 15 метров, а атака занимает менее 15 секунд. В зависимости от устройства, гипотетический хакер может перехватывать, прерывать поток аудио или разговор по телефону, воспроизводить собственный звук на любой громкости, а также незаметно перехватывать контроль над микрофонами, чтобы прослушивать происходящее вокруг. Некоторые устройства от Google и Sony оснащаются функцией отслеживания геолокации Google Find Hub, а значит, их местоположение можно отслеживать с высокой точностью. Авторы исследования уведомили о своём открытии Google ещё в августе минувшего года — компания предала инцидент огласке и отчиталась о мерах по устранению проблемы. Сложность в том, что многие владельцы таких устройств вообще не задумываются об обновлении их прошивки и не устанавливают приложений от производителя, то есть даже не знают, что такие обновления выходят. Это значит, что атака WhisperPair может так и остаться актуальной для этих устройств на несколько месяцев, если не лет. Google, со своей стороны, не только выпустила обновления прошивки для аудиоаксессуаров, но и изменила схему работы сервиса Android Find Hub, чтобы лишить злоумышленников возможности следить за людьми. Впрочем, бельгийские исследователи уже нашли способ обойти это обновление.  Для развёртывания атаки злоумышленнику достаточно находиться в зоне действия Bluetooth уязвимого устройства и располагать идентификатором Model ID, единым для каждой модели — последний, например, можно запросить через общедоступный API Google. В ходе экспериментов исследователи пытались выполнить подключение к 25 уже сопряжённым через Fast Pair устройствам от 16 разных производителей с помощью одноплатного компьютера Raspberry Pi 4 на расстоянии около 14 метров — уязвимыми оказалось большинство устройств, а взлом занимал от 10 до 15 секунд. Если устройства ранее не привязывались к учётной записи Google, то при атаке WhisperPair потенциальный злоумышленник мог подключить их к своему аккаунту, чтобы следить за жертвой через сервис Google Find Hub. Жертва может ничего не заподозрить, если получит предупреждение, что её собственные наушники за ней следят, списав это на сбой. Отключить функцию Fast Pair невозможно, даже если никогда ей не пользуешься, а сброс настроек до заводских просто заставит злоумышленника повторить операцию. Уязвимость перед атакой WhisperPair могла возникнуть из-за ошибок в реализации технического стандарта Fast Pair производителями как готовых устройств, так и чипов, которые лежат в их основе. У Google есть приложение-валидатор, которое осуществляет проверку реализации Fast Pair на устройстве; кроме того, компания тестирует совместимые с Fast Pair устройства в своих лабораториях, прежде чем эти устройства поступят в серийное производство. Но, по утверждениям бельгийских учёных, все проверенные ими гаджеты имели сертификацию от Google, то есть компания заключила, что они соответствуют требованиям. Когда стало известно о проблеме, Google, по её утверждению, добавила новые тесты к процедуре проверки реализации Fast Pair. Независимо от истинного виновника инцидента, исследователи подчеркнули, что проблему решили бы внедрение средств шифрования и блокировка вторичного сопряжения другого лица без аутентификации. Они опубликовали сайт, на котором перечислили уязвимые модели устройств — и призвали их владельцев по возможности обновить прошивки Примечательно, что сам протокол Bluetooth уязвимостей не содержит — ошибкам подвержена только надстройка Fast Pair. Эксплойт Reprompt позволял незаметно красть личные данные из Microsoft Copilot одним щелчком мыши
14.01.2026 [19:22],
Сергей Сурабекянц
Исследовательская компания Varonis Threat Labs (VTL), специализирующаяся на информационной безопасности, опубликовала отчёт, в котором подробно описывается эксплойт под названием Reprompt, позволявший злоумышленникам похищать личные данные жертв через ИИ-помощник Microsoft Copilot. 
Источник изображения: unsplash.com «Reprompt предоставляет злоумышленникам невидимую точку входа для выполнения цепочки утечки данных, которая полностью обходит средства контроля безопасности предприятия и обеспечивает доступ к конфиденциальным данным без обнаружения — всего одним щелчком мыши», — говорится в отчёте VTL. Для использования уязвимости злоумышленнику достаточно было убедить пользователя открыть фишинговую ссылку, которая затем инициировала многоэтапный запрос, внедрённый с помощью так называемого «параметра Q», который, по словам VTL, позволяет «платформам, связанным с ИИ, передавать запрос или подсказку пользователя через URL». «Включив конкретный вопрос или инструкцию в параметр q, разработчики и пользователи могут автоматически заполнять поле ввода при загрузке страницы, заставляя систему ИИ немедленно выполнить подсказку», — пояснили исследователи VTL. Например, злоумышленник может запросить у Copilot информацию о пользователе, просмотренных им файлах и его местонахождении и отправить её на свои серверы. 
Источник изображения: Varonis Threat Labs Кроме того, VTL утверждает, что уязвимость Reprompt отличается от других уязвимостей безопасности, основанных на ИИ, таких как EchoLeak, поскольку для её использования требуется всего один клик пользователя, без необходимости ввода каких-либо дополнительных данных. Эту атаку можно использовать даже при закрытом Copilot. По замыслу разработчиков, Copilot не должен был принимать подобные фишинговые ссылки, но исследователям VTL удалось видоизменить запрос для преодоления мер безопасности Copilot и убедить ИИ получить URL-адрес для отправки данных. По данным VTL, информация об этой уязвимости было передана Microsoft в августе 2025 года, а исправлена уязвимость была лишь 13 января 2026 года. На сегодняшний день риск использования этого эксплойта отсутствует. ИИ-помощники не являются неуязвимыми, и это вряд ли последняя уязвимость безопасности Copilot, обнаруженная исследователями. Эксперты настоятельно советуют пользователям быть предельно аккуратными при работе с информацией, предоставляемой ИИ-помощникам, и проявлять бдительность при переходе по ссылкам. Microsoft закрыла уязвимость Windows, которую вовсю эксплуатировали хакеры
14.01.2026 [17:44],
Павел Котов
Microsoft и американские власти предупредили, что в Windows была обнаружена уязвимость, которую активно эксплуатируют киберпреступники. Уязвимость за номером CVE-2026-20805 обнаружили эксперты по кибербезопасности в Microsoft — она открывала уже внедрившемуся в систему злоумышленнику доступ к адресам памяти через удалённый порт ALPC. 
Источник изображения: blogs.windows.com Обнаруженная уязвимость относится к средней степени серьёзности и имеет рейтинг 5,5 из 10; полученные при её эксплуатации данные хакеры могут использовать на последующих этапах в цепочке эксплойтов — не исключено, что для выполнения произвольного кода. Известно, что она действительно эксплуатируется киберпреступниками, и после её закрытия, когда Microsoft выпустила патч, Агентство по кибербезопасности и защите инфраструктуры (CISA) США добавило её в свой список, обязав тем самым федеральные ведомства установить патчи на своих машинах к 3 февраля. Подобные уязвимости часто используются злоумышленниками для компрометации алгоритма рандомизации расположения адресного пространства (ASLR), который служит для защиты от переполнения буфера и от других эксплойтов, связанных с манипуляциями памятью. Раскрыв расположение кода в памяти, злоумышленник может объединить эту уязвимость с уязвимостью выполнения кода — в результате сложный и ненадёжный эксплойт оказывается звеном в практичной и воспроизводимой атаке, пояснили опрошенные ресурсом The Register эксперты. Всего в очередном пакете обновлений для Windows 11 компания Microsoft закрыла 112 уязвимостей с номерами CVE. Одна из них, CVE-2026-21265, относится к функциям безопасности и связана с истечением срока действия сертификата безопасной загрузки — и имеет более высокий в сравнении с вышеупомянутой рейтинг 6,5 из 10. Маловероятно, что злоумышленники будут её эксплуатировать, считают эксперты, а вот администраторам она может доставить некоторые проблемы. Ещё одна, CVE-2023-31096 (рейтинг 7,4 из 10), открытая ещё в 2023 году, была связана с драйверами устаревших модемов — теперь эти драйверы из системы удалены. Наконец, уязвимости CVE-2026-20952 (7,7) и CVE-2026-20953 (7,4) коснулись пакета Office — их механизм связан с возможностью подмены данных, когда программа продолжает ссылаться на удалённый из памяти объект. Почти половина российских телеком-компаний страдает от дыр в IT-системах
14.01.2026 [13:15],
Владимир Мироненко
У почти половины российских телекоммуникационных компаний в IT-системах имеются критические уязвимости, сообщили «Ведомости» со ссылкой на исследование экспертов коллектива CICADA8, работающего в сфере информационной безопасности. 
Источник изображения: Mika Baumeister/unsplash.com Лучше всего обстоят дела с безопасностью бизнеса в финансовом секторе. В госсекторе и ретейле уязвимости в IT-системах есть у 31 % компаний, в сфере здравоохранения — у 23 % организаций. Более высокую защищённость финсектора по сравнению с другими отраслями подтверждает ранее проведенное исследование компании «Кибериспытание» среди 74 компаний, согласно которому IT-системы 67 % компаний можно взломать менее чем за сутки, и в более чем в 60 % случаев это может привести к остановке работы бизнеса. Наиболее защищённой оказалось отрасль финансов, где успешные взломы, которые привели к остановке операций, удалось осуществить лишь в 25 % случаев. В ретейле уровень безопасности гораздо ниже — в 83 % случаев хакеры реализовали успешный взлом. Немного лучше обстоят дела в обрабатывающих производствах (80 %) и сфере информации и связи (59 %). Согласно данным центра мониторинга киберугроз «Спикател», в 2025 году количество хакерских атак на бизнес увеличилось год к году на 42 % до 22 тыс. инцидентов. В 25 % случаев последствия атак были признаны серьёзными либо по размерам финансового ущерба, либо по продолжительности операционного сбоя, либо по обоим критериям, сообщил ведущий аналитик мониторинга ИБ-компании Алексей Козлов. По его словам, больше всего подверглись атакам промышленный сектор (34 %) и телекоммуникационные компании (26 %). Руководитель проектов компании «Интеллектуальная аналитика» Тимофей Воронин объясняет слабую защищённость в телекоме недостатком необходимых для обеспечения ИБ средств. «Даже несмотря на повышение абонентской платы, сотовые операторы не всегда могут увеличить долю средств, которые будут направлены на устранение уязвимостей в области ИБ, так как в условиях модернизации сетей, замены базовых станций, санкционных ограничений сильно поднимаются издержки», — сообщил он. Директор центра киберзащиты Cloud.ru Сергей Волков добавил, что телекоммуникационная отрасль — это инфраструктурно сложная среда со множеством разнородных систем и сетевых устройств, что само по себе ведёт к росту вероятности возникновения критических уязвимостей. Генеральный директор CICADA8 Алексей Кузнецов отметил, что очень высоким уровнем защиты в сфере телекоммуникаций могут похвастать крупнейшие компании, а множество мелких операторов защищены крайне слабо. Также играет свою роль в росте атак то, что данные, обрабатываемые телеком-операторами, и доступ к ним имеют очень высокую коммерческую ценность, сообщила директор департамента корпоративных продаж «Телеком биржи» Дина Фомичева. То, что финансовая индустрия считается одной из самых защищённых сфер, связано с жёстким регуляторным контролем Банка России, который последовательно ужесточает требования к ИБ финансовых организаций, подчеркнул директор департамента расследований T.Hunter Игорь Бедеров. Он отметил, что финансовый сектор стал первой регулируемой отраслью критической информационной инфраструктуры. В устаревших роутерах D-Link нашли уязвимость, активно эксплуатируемую хакерами — исправлять её не станут
07.01.2026 [14:37],
Павел Котов
Киберпреступники активно эксплуатируют недавно обнаруженную уязвимость с внедрением команд, которая затрагивает несколько снятых с производства и лишившихся поддержки DSL-маршрутизаторов D-Link. 
Источник изображения: D-Link Уязвимость получила номер CVE-2026-0625 — она связана с некорректной проверкой входных данных в библиотеке CGI при выполнении скрипта dnscfg.cgi. Через параметры конфигурации DNS неавторизованный злоумышленник может использовать эту ошибку для выполнения удалённых команд. Проблему обнаружили в организации Shadowserver Foundation и подробно изучили в компании VulnCheck, которая специализируется на анализе уязвимостей. D-Link подтвердила, что проблема актуальна для некоторых маршрутизаторов с указанными версиями прошивки: DSL-526B (версия прошивки по 2.01), DSL-2640B (по 1.07), DSL-2740R (по 1.17), DSL-2780B (по 1.01.14). Предусмотренный производителем срок службы этих устройств истёк в 2020 году, обновлений прошивки для устранения уязвимости CVE-2026-0625 компания D-Link выпускать не намерена, поэтому она настоятельно рекомендовала вывести уязвимое оборудование из эксплуатации и заменить его актуальным. Сейчас она пытается установить, какие ещё продукты и прошивки подвержены данной уязвимости. Установить, кто и для каких целей её эксплуатирует, не удалось. Функции администрирования на маршрутизаторе обычно доступны только по локальной сети, поэтому для эксплуатации CVE-2026-0625 наиболее вероятными представляются атаки через браузеры и оборудование с функцией удалённого администрирования. Популярный криптокошелёк Trust Wallet взломали — у пользователей украли $7 млн, но разработчики пообещали всё возместить
26.12.2025 [13:09],
Павел Котов
Разработчик криптовалютного кошелька Trust Wallet сообщил об инциденте в области кибербезопасности, который затронул одну версию приложения в формате расширения для браузера. В результате взлома злоумышленники похитили средства на сумму, по разным оценкам, от $6 млн до $7 млн. 
Источник изображения: Michael Förtsch / unsplash.com Инцидент предал огласке специализирующийся на криптовалютах частных детектив, известный под псевдонимом ZachXBT — он сообщил, что за непродолжительный промежуток времени несколько пользователей Trust Wallet пожаловались на исчезновение средств с адресов своих кошельков. Причину произошедшего ему пока установить не удалось, но жалобы совпали с недавним обновлением расширения Trust Wallet для браузера Chrome. Добычей неизвестных злоумышленников стали активы на сумму более $6 млн, заявил ZachXBT. Факт инцидента в области безопасности подтвердили и разработчики Trust Wallet, которые порекомендовали обновить расширение для браузера с версии 2.68 до 2.69 — необновлённый вариант расширения настоятельно советовали отключить и не пользоваться им до установки более свежей версии, чтобы предотвратить дальнейшие проблемы. Все остальные версии расширения Trust Wallet инцидент не затронул. Основатель криптобиржи и владелец проекта Trust Wallet Чанпэн Чжао (Changpeng Zhao) пообещал, что разработчики приложения покроют понесённые убытки, и сейчас средства пользователей расширения в безопасности. С января по начало декабря 2025 года объёмы краж криптовалюты превысили $3,41 млрд — за аналогичный период минувшего года этот показатель был $3,38 млрд, подсчитали в Chainalysis. OpenAI признала: у ИИ-браузеров есть уязвимость к инъекциям, которую невозможно полностью устранить
23.12.2025 [12:02],
Павел Котов
OpenAI стремится усилить безопасность своего браузера с искусственным интеллектом Atlas, но в компании поняли, что полностью исключить угрозу внедрения запросов (prompt injections) не получится. Внедрением запросов называется тип атаки, при котором агент ИИ выполняет скрытые инструкции в невидимых областях веб-страниц или писем электронной почты. 
Источник изображения: Dima Solomin / unsplash.com Атаки с внедрением запросов едва ли получится изжить полностью так же, как мошеннические схемы и методы социальной инженерии, считают в OpenAI, а «режим агента» в браузере «расширяет поверхность угроз безопасности». OpenAI выпустила Atlas в октябре, и вскоре исследователи в области кибербезопасности начали демонстрировать, что поведением браузера можно манипулировать, например, написав несколько слов в Google Docs. Разработчики Brave подтвердили, что непрямое внедрение запросов представляет собой системную проблему для ИИ-браузеров, в том числе для Perplexity Comet. О невозможности полностью исключить подобные атаки недавно заявили в Национальном центре кибербезопасности Великобритании и порекомендовали экспертам не пытаться их «остановить», а смягчить возможные последствия. А Google и Anthropic решили сделать ставку на многоуровневую защиту и постоянное стресс-тестирование систем. В OpenAI решили пойти своим путём и создали «автоматизированного злоумышленника на основе большой языковой модели». Это бот, который прошёл обучение с подкреплением и принял на себя роль хакера, постоянно пытающегося незаметно отправить ИИ-агенту вредоносные инструкции. Бот тестирует свои атаки в симуляциях, демонстрируя, как в тех или иных условиях рассуждает и действует целевой ИИ. Он изучает реакцию, корректирует схему атаки и повторяет свои попытки снова и снова. У посторонних доступ к настолько глубокому пониманию механизмов внутреннего мышления целевого ИИ отсутствует, поэтому в теории бот OpenAI должен находить уязвимости быстрее, чем реальные злоумышленники. 
Источник изображения: Mariia Shalabaieva / unsplash.com В одной из демонстраций бот подбросил в почтовый ящик пользователя «отравленное» электронное письмо. ИИ просканировал корреспонденцию, открыл это письмо, проследовал скрытым в нём инструкциям и отправил от имени пользователя заявление об увольнении вместо автоматического ответа о его отсутствии на рабочем месте. После обновления безопасности ИИ-агент, однако, успешно обнаружил попытку внедрения запроса и сообщил о ней пользователю. Если надёжной и полной защиты от таких атак не существует, отметили в компании, то приходится полагаться на масштабное тестирование и ускорять циклы обновления. О фактических успехах по сокращению числа реакций на внедрения запросов в OpenAI не сообщили, но отметили, что работа в этом направлении при участии сторонних специалистов началась ещё до выхода Atlas. Угроза от ИИ-агентов может быть серьёзной: они обладают некоторой автономностью при наличии высокого уровня доступа, указывают опрошенные TechCrunch эксперты. Поэтому одних только методов обучения с подкреплением недостаточно — необходимо учитывать и указанные аспекты: ограничивать действия, которые ИИ-агент способен осуществлять от имени учётной записи пользователя, в которую произведён вход, а также запрашивать подтверждения перед тем, как сделать нечто важное. На эти аспекты указывают и рекомендации OpenAI для пользователей: Atlas запрашивает подтверждение перед отправкой сообщений или перед совершением платежей. Пользователям также рекомендовали давать ИИ-агентам конкретные инструкции, а не, например, открывать доступ к почте и разрешать «делать, всё что потребуется». «Даже при наличии мер защиты широкая свобода действий облегчает скрытому или вредоносному контенту воздействие на агента», — предупредили в OpenAI. Google раскрыла уязвимость Windows 11 — Microsoft не смогла закрыть её с первого раза
18.12.2025 [01:58],
Николай Хижняк
Компания Google обнародовала информацию об уязвимости в составе операционной системы Windows 11 после того, как компании Microsoft не удалось исправить её с первого раза. 
Источник изображения: Microsoft У Google есть внутренняя команда по кибербезопасности Project Zero, задача которой заключается в поиске различных уязвимостей как в продуктах самой Google, так и в решениях других разработчиков. Об обнаруженных брешах в безопасности специалисты в частном порядке сообщают разработчику, после чего последнему даётся 90 дней на их устранение. Если этот срок превышен, информация об уязвимости становится достоянием общественности, что оказывает дополнительное давление на поставщика и даёт пользователям возможность самостоятельно принять меры для защиты. В некоторых сложных случаях также предоставляется отсрочка на исправление уязвимостей. В прошлом Google Project Zero сообщала об ошибках в CentOS, libxslt, ChromeOS и Windows. Теперь команда обнаружила уязвимость в версиях Windows 11 для участников программы Insider. В подробном техническом отчёте на трекере проблем Project Zero указано, что исследователь безопасности Джеймс Форшоу (James Forshaw) обнаружил уязвимость повышения привилегий (EoP) в предварительных версиях Windows 11 для участников программы Insider. Эта проблема присутствовала в функции защиты администратора, которая является новой возможностью Windows 11 и позволяет повышать привилегии только тогда, когда это необходимо, с использованием Windows Hello и изолированного административного токена. В ходе своего расследования Форшоу выявил уязвимость в функции защиты администратора (Administrator Protection), позволяющую процессу с низкими привилегиями перехватывать процесс доступа к пользовательскому интерфейсу, что может быть использовано для получения административных привилегий. Исследователь сообщил об этой уязвимости в Microsoft в частном порядке 8 августа, что означало, что у компании было время до 6 ноября, чтобы исправить её. После продления этого срока Microsoft выпустила 12 ноября патч безопасности и поблагодарила Форшоу за его вклад в обнаружение уязвимости CVE-2025-60718. Хотя вопрос считался закрытым, Форшоу недавно вновь поднял его, заявив, что выпущенный патч оказался неэффективным и не устранил уязвимость полностью. В результате, после отсутствия реакции со стороны Microsoft, информация об уязвимости стала достоянием общественности. Об указанной уязвимости уже известно всё необходимое, поэтому серьёзных опасений она не вызывает. Уязвимость предполагает возможность локальной атаки с повышением привилегий, а это означает, что злоумышленнику необходим физический доступ к компьютеру для выполнения произвольного кода и эксплуатации проблемы. Кроме того, функция защиты администратора доступна только в некоторых сборках Windows 11 Insider и в любом случае должна быть включена вручную. Таким образом, круг потенциально затронутых пользователей на данный момент достаточно ограничен. Тем не менее важно, чтобы Microsoft провела дальнейшее расследование результатов работы Форшоу и выпустила полноценное исправление до того, как функция станет общедоступной в составе Windows 11. Атаки нулевого дня заставили Google и Apple экстренно обновить ПО
13.12.2025 [07:37],
Анжелла Марина
Google и Apple выпустили экстренные обновления программного обеспечения после обнаружения атак, в которых использовались уязвимости нулевого дня. Обновления предназначены для защиты широкого круга пользователей от хакерской кампании, целью которой, как сообщает TechCrunch, в первую очередь стали конкретные лица, использующие уязвимые версии устройств и приложений. 
Источник изображения: Vladimir Fedotov/Unsplash Google выпустила патчи для нескольких уязвимостей в своём браузере Chrome, отметив, что одна из них уже активно эксплуатировалась злоумышленниками. Компания изначально не предоставила деталей, но в пятницу обновила информацию, указав, что уязвимость была обнаружена совместно командой безопасности Apple (Apple Security Engineering) и группой анализа угроз Google (Google Threat Analysis Group). Последняя специализируется на расследовании деятельности хакеров, поддерживаемых государствами и производителями шпионского ПО. Параллельно Apple выпустила пакеты обновлений для своих продуктов: iPhone, iPad, компьютеров Mac, гарнитуры Vision Pro, приставки Apple TV, умных часов Apple Watch и браузера Safari. В бюллетене безопасности для iPhone и iPad компания сообщила об устранении двух ошибок. Представители Apple заявили, что им известно, что данная проблема могла быть использована «в чрезвычайно изощрённой атаке против конкретных целевых лиц», использующих устройства ниже версии iOS 26. Такая формулировка со стороны Apple обычно означает, что компания признаёт факт целевых атак на своих пользователей с использованием уязвимостей нулевого дня. Часто подобные атаки исходят от групп, например, NSO Group или Paragon Solutions, действующих при поддержке государственных структур, оказывающих давление на журналистов и правозащитников. Microsoft заплатит за обнаружение критических уязвимостей даже в сторонних приложениях
12.12.2025 [19:19],
Сергей Сурабекянц
Microsoft пересмотрела свою программу вознаграждения за обнаружение уязвимостей и будет платить исследователям за обнаружение уязвимостей во всех своих продуктах и сервисах, даже в тех, где нет установленных программ вознаграждения. Новый подход «по умолчанию входит в сферу действия» предусматривает выплату вознаграждения даже за критические уязвимости, обнаруженные в сторонних приложениях.  Вице-президент центра реагирования на инциденты безопасности Microsoft (Microsoft Security Response Center, MSRC) Том Галлахер (Tom Gallagher) сообщил о новом подходе компании к выплате вознаграждений за обнаруженные уязвимости, который она называет «по умолчанию входит в сферу действия». В рамках новой модели MSRC будет выплачивать вознаграждение исследователям, которые сообщают о критических уязвимостях, оказывающих ощутимое влияние на онлайн-сервисы Microsoft. «Независимо от того, принадлежит ли код Microsoft, третьей стороне или является открытым исходным кодом, мы сделаем все необходимое для устранения проблемы, — сказал Галлахер. — Наша цель — стимулировать исследования в областях с самым высоким риском, особенно в тех, которые наиболее вероятно будут использованы злоумышленниками». По его словам, выплаты за один и тот же класс обнаруженной уязвимости и степень её серьёзности как в коде стороннего разработчика, так и в продукте Microsoft, будут одинаковыми. «Там, где нет программ вознаграждения за обнаружение уязвимостей, мы будем признавать и вознаграждать разнообразные идеи сообщества исследователей безопасности, независимо от того, куда их направляет их опыт. Это включает в себя домены и корпоративную инфраструктуру, принадлежащие Microsoft и управляемые ею», — добавил Галлахер. Подход «по умолчанию входит в сферу действия» означает, что даже новые продукты и услуги покрываются программами вознаграждения за обнаружение уязвимостей, включая те, для которых на момент запуска не была назначена специальная программа. Этот шаг представляет собой радикальное изменение в системе вознаграждения за обнаружение уязвимостей MSRC, которая в прошлом была строго регламентирована в отношении того, какой тип уязвимости заслуживает вознаграждения и какие продукты или услуги включены в программу вознаграждения. «Переход к модели вознаграждения за обнаружение уязвимостей, которая по умолчанию входит в сферу действия программы, направлен на укрепление нашей безопасности в условиях постоянно меняющегося ландшафта угроз, особенно в облачных технологиях и искусственном интеллекте», — пояснил Галлахер. Microsoft запустила свою программу вознаграждения за обнаружение уязвимостей в 2013 году после многолетних обращений исследователей безопасности. Хотя многие из них с тех пор получили финансовую выгоду от этой программы, нашлось немало тех, кто жалуется на усложнённый процесс подачи заявок, медленную реакцию компании и сомнительные выводы по результатам анализа. По данным Microsoft, в прошлом году она выплатила исследователям более $17 млн в рамках своей программы вознаграждения за обнаружение уязвимостей и конкурса Zero Day Quest, и ожидает дальнейшего увеличения расходов. Хакерский ИИ уже почти обошёл человека — девять из десяти экспертов оказались слабее
12.12.2025 [13:29],
Павел Котов
Современные средства взлома компьютерных систем, основанные на искусственном интеллекте, стали настолько мощными, что уже почти превзошли человека. Таковы результаты эксперимента, проведённого исследователями Стэнфордского университета (США), пишет The Wall Street Journal. 
Источник изображения: Fotis Fotopoulos / unsplash.com Почти весь прошедший год группа учёных из Стэнфорда вела разработку чат-бота с ИИ Artemis, предназначенного для хакерских операций. Artemis сканирует сеть на предмет возможных ошибок — уязвимостей ПО, а затем находит способы эксплуатировать эти уязвимости для взлома систем. Обучив ИИ, они выпустили его из лаборатории и попросили найти ошибки в реальной компьютерной сети инженерного факультета в университете. Деятельность Artemis сравнили с работой настоящих хакеров — специалистов по тестированию на проникновение. Первоначально авторы эксперимента не ожидали от ИИ многого, но на деле он оказался чрезвычайно хорош и превзошёл девятерых из десяти специалистов, нанятых исследователями для проверки. Artemis обнаруживал ошибки с молниеносной скоростью, а его обслуживание было относительно недорогим — $60 в час, тогда как специалист того же профиля зарабатывает в час от $2000 до $2500. Но и идеальной работа Artemis тоже не была — около 18 % его сообщений об ошибках были ложными срабатываниями; кроме того, он пропустил очевидную ошибку, которую большинство людей заметило на веб-странице. Сеть в Стэнфорде ранее не взламывалась с помощью ИИ-ботов, и проведённый эксперимент оказался удачным поводом устранить некоторые изъяны в средствах защиты. У Artemis также была функция аварийного отключения, которая позволила бы исследователям мгновенно деактивировать ИИ-агента в случае возникновения проблем. Значительная часть программного кода во всём мире, указывают учёные, не проходила надёжного тестирования на наличие уязвимостей, поэтому инструменты вроде Artemis в долгосрочной перспективе способны обернуться благом для защитников сетевых ресурсов, помогая им находить и исправлять большее число ошибок в коде, чем когда-либо прежде. Но в краткосрочной перспективе это также и угроза — к ИИ за поиском уязвимостей могут обратиться и злоумышленники. Любопытно, что одну из ошибок Artemis обнаружил на странице, которая не открывалась современными браузерами — специалисты по поиску уязвимостей её пропустили, а он нашёл, потому что открыл эту страницу при помощи утилиты cURL. Ранее разработчик этой утилиты пожаловался, что на него обрушилась лавина ложных сообщений об ошибках в ней, которые якобы обнаруживают модели ИИ. Apple резко снизила награды багхантерам — при этом рост вредоносов в macOS бьёт рекорды
02.12.2025 [20:07],
Анжелла Марина
Apple значительно сократила размеры вознаграждений за обнаружение уязвимостей в операционной системе macOS, несмотря на растущую активность вредоносных программ. Некоторые выплаты были уменьшены более чем в шесть раз, например, за обнаружение уязвимости, связанной с обходом механизма защиты приватности, цена снизилась с $30 500 до $5000. 
Источник изображения: AI Об этом рассказало издание 9to5Mac со ссылкой на ведущего исследователя по безопасности macOS в компании Iru Цабу Фитцла (Csaba Fitzl). Фитцл опубликовал актуальные ставки программы Apple Security Bounty на своей странице в LinkedIn, отметив, что такие изменения трудно интерпретировать в положительном ключе, особенно на фоне заявлений Apple о приверженности защите приватности пользователей. По его мнению, это может сигнализировать либо о том, что Apple не намерена инвестировать в исправление подобных проблем, либо о снижении приоритета безопасности на платформе Mac в целом. Механизм защиты приватности Transparency, Consent, and Control (TCC) — это фреймворк прозрачности, согласия и контроля, который обеспечивает уверенность в том, что приложения получают доступ к чувствительным данным пользователя только после его явного разрешения. Система регулирует доступ к таким ресурсам, как файлы и папки, данные из встроенных приложений, а также к микрофону, веб-камере и функциям записи экрана. В прошлом исследователи уже находили критические уязвимости в TCC: одна из них позволяла злоумышленнику производить такие действия, при которых macOS считала, будто пользователь дал разрешение, хотя этого не происходило. Другой баг позволял внедрять вредоносный код в легитимные приложения, чтобы использовать выданные им права. Фитцл подчеркнул, что и без того небольшое сообщество исследователей, специализирующихся на безопасности macOS, может ещё больше сократиться из-за снижения финансовой мотивации. Это, в свою очередь, повышает вероятность того, что обнаруженные уязвимости будут продаваться на чёрном рынке, а не передаваться Apple для исправления. Google закрыла 107 дыр в Android — две нулевого дня уже использовались в атаках
02.12.2025 [19:11],
Николай Хижняк
Компания Google опубликовала декабрьский бюллетень по безопасности Android, в котором сообщила об устранении 107 уязвимостей, включая две, активно эксплуатируемые в целевых атаках. 
Источник изображения: AI Две уязвимости высокого уровня серьёзности обозначены как CVE-2025-48633 и CVE-2025-48572. Первая связана с риском неавторизованного доступа к информации, вторая — с проблемами повышенных привилегий. Обе уязвимости затрагивают версии Android с 13-й по 16-ю. «Имеются признаки того, что следующие [уязвимости] могут подвергаться ограниченной целенаправленной эксплуатации», — говорится в декабрьском бюллетене Google по Android. Хотя компания не предоставила никаких технических деталей и подробностей об эксплуатации этих уязвимостей, аналогичные проблемы ранее использовались для таргетированных атак с помощью коммерческого шпионского ПО или в рамках государственных операций, направленных на небольшое число лиц, представляющих особый интерес. Самая серьёзная уязвимость, исправленная в этом месяце, — это CVE-2025-48631, уязвимость типа «отказ в обслуживании» (DoS) в Android Framework. Обновления этого месяца устраняют в общей сложности 51 уязвимость в компонентах Android Framework и System, а также 56 ошибок в ядре и сторонних компонентах с закрытым исходным кодом. Что касается последнего, Google выпустила четыре критически важных исправления для уязвимостей, связанных с повышением привилегий в подкомпонентах ядра Pkvm и UOMMU, а также два критических исправления для устройств на базе процессоров Qualcomm (CVE-2025-47319 и CVE-2025-47372). Дополнительную информацию об исправлениях с закрытым исходным кодом можно найти в бюллетенях безопасности Qualcomm и MediaTek за декабрь 2025 года. Компания Samsung тоже опубликовала свой бюллетень безопасности, включающий исправления, перенесённые из обновления Google, а также исправления, специфичные для её устройств. Важно отметить, что обновления распространяются на устройства под управлением Android 13 и более поздних версий, но устройства на Android 10 и более поздних версиях могут получить некоторые важные исправления через системные обновления Google Play. Также функция Play Protect может обнаруживать и блокировать задокументированные вредоносные программы и цепочки атак, поэтому пользователям любой версии Android следует поддерживать компонент в актуальном состоянии и активировать его. В Chrome нашли опасную уязвимость, которую уже используют хакеры — вышел экстренный патч
19.11.2025 [00:20],
Анжелла Марина
Google выпустила экстренное обновление безопасности для браузера Chrome, устраняющее две уязвимости типа Type Confusion, одна из которых, по сообщению HotHardware, уже эксплуатировалась в реальных атаках. Патч уже начал распространяться на устройства по всему миру. 
Источник изображения: AI Первая уязвимость, зарегистрированная под идентификатором CVE-2025-13223, обнаружена в движке V8 — компоненте Chrome, отвечающем за выполнение JavaScript и WebAssembly. Речь идёт о классической ошибке несоответствия типов данных или «путанице типов» (Type Confusion), возникающей, например, при интерпретации целого числа как символа. Эта ошибка позволяет удалённо спровоцировать повреждение кучи (область памяти, используемая для динамического выделения памяти) с помощью специально созданной HTML-страницы. Вторая уязвимость с идентификатором CVE-2025-13224, имеет ту же природу, что и Type Confusion в V8, однако признаков её активного использования пока не обнаружено. Интересно, что эту ошибку нашёл собственный ИИ-агент Google Big Sleep. Google пока ограничивает доступ к детальной технической информации, чтобы минимизировать риск новых атак до того, как большинство пользователей успеет обновиться. Как поясняется в блоге компании, информация не будет раскрываться, пока исправление не будет установлено на большинстве устройств или пока аналогичные баги не будут закрыты в сторонних библиотеках, от которых зависят другие браузеры на базе Chromium. Обновление происходит автоматически, но для ускорения процесса специалисты рекомендуют вручную проверить наличие апдейта через меню «Справка — О браузере Google Chrome». Аналогичные меры рекомендуется предпринять и пользователям других браузеров на базе Chromium, включая Microsoft Edge, Brave и Opera. |
© 1997—2026 Электронное периодическое издание "3ДНьюс" | Свидетельство о регистрации СМИ Эл ФС 77-22224
выдано Федеральной Службой по надзору за соблюдением законодательства в сфере массовых коммуникаций и охране культурного наследия
При цитировании документа ссылка на сайт с указанием автора обязательна. Полное заимствование документа является
нарушением
российского и международного законодательства и возможно только с согласия редакции 3DNews.
MWC 2018
2018
Computex
IFA 2018
