Опрос
|
реклама
Быстрый переход
Google одним махом исправила 124 уязвимости в Android — одну из них вовсю использовали хакеры
02.06.2026 [18:08],
Сергей Сурабекянц
Компания Google выпустила июньские обновления безопасности Android за 2026 год, устраняющие 124 уязвимости, включая одну уязвимость нулевого дня, активно используемую злоумышленниками в целенаправленных атаках. CVE-2025-48595 использовалась хакерами для получения доступа к выполнению кода и повышения привилегий на устройствах под управлением Android 14 или более поздних версий.  Вчера Google выпустила сразу два набора обновлений безопасности: от 1 июня 2026 года и от 5 июня 2026 года. Последний включает в себя все исправления из первого набора, а также обновления для закрытых сторонних компонентов и элементов ядра, которые могут не применяться ко всем устройствам Android. Устройства Google Pixel получат эти обновления безопасности немедленно, другим производителям может потребоваться больше времени для тестирования и настройки под конкретные аппаратные конфигурации. Ещё в марте 2025 года Google выявила признаки того, что CVE-2025-48595 «может использоваться в ограниченных, целенаправленных целях». Теперь ошибка исправлена, но компания пока не поделилась техническими подробностями об уязвимости и не предоставила дополнительной информации о реальных атаках, использующих её. Подобные уязвимости ранее использовались коммерческими шпионскими программами и государственными операциями, нацеленными на высокопоставленных лиц. В этом месяце в обновлениях безопасности Android Google также исправила 18 критических уязвимостей в компонентах System, Framework и Qualcomm с закрытым исходным кодом, которые злоумышленники могли использовать для запуска атак типа «отказ в обслуживании» и повышения привилегий на незащищённых устройствах Android. «Наиболее серьёзная из этих проблем — критическая уязвимость безопасности в компоненте Framework, которая может привести к удалённому повышению привилегий без необходимости получения дополнительных прав на выполнение. Для эксплуатации не требуется взаимодействие с пользователем», — прокомментировал представитель Google. 
Источник изображения: unsplash.com В декабре 2025 года Google выпустила исправления для двух других уязвимостей нулевого дня высокой степени опасности (CVE-2025-48633 и CVE-2025-48572), а в марте — для ещё одной уязвимости нулевого дня в компоненте дисплея Qualcomm (CVE-2026-21385), все из которых были помечены как «подлежащие ограниченной, целенаправленной эксплуатации». В прошлом месяце Google обновила свои программы поощрения за обнаружение уязвимостей в Android и Chrome, вплоть до вознаграждения в размере $1,5 млн за некоторые особо опасные эксплойты Android, одновременно сократив выплаты за уязвимости, выявленные с помощью искусственного интеллекта. «Использование многих уязвимостей в Android затруднено улучшениями в более новых версиях платформы Android. Мы призываем всех пользователей по возможности обновлять Android до последней версии», — подчеркнул представитель Google. Критические уязвимости обнаружены в 84 % российских мобильных приложений
02.06.2026 [07:15],
Владимир Фетисов
Специалисты компании AppSec Solution подвели итоги ежегодного исследования безопасности мобильных приложений, в котором участвовали более 1,2 популярных продуктов для платформы Android. Приложения тестировались в режиме без доступа к программному коду, но это не помешало исследователям выявить уязвимости критического или высокого уровня в 84 % продуктов. 
Источник изображения: Towfiqu barbhuiya / unsplash.com Количество только критических уязвимостей составило 19 тыс. Общее количество уязвимостей подскочило на 68 % с 29,9 тыс. в 2024 году до 48,8 тыс. в 2025 году. Больше всего уязвимостей было обнаружено в приложениях, относящихся к категориям «Игры», «Стриминговые платформы», «Финансы», «Приложения для бизнеса» и «СМИ». Отмечается, что в финансовом секторе количество опасных уязвимостей за последние три года выросло почти в 10 раз и составило 1921 единицу. Такую динамику в AppSec Solution связывают с тем, что банковские приложения интегрируют с другими сервисами, из-за чего увеличивается количество «зашитых» в код бэкдоров и точек небезопасного хранения чувствительных данных. Кроме того, специалисты стали проводить более глубокий анализ, что также способствовало увеличению количества выявляемых проблем. Что касается типов критических уязвимостей, то больше всего проблем связано с небезопасным хранением токенов, ключей и пользовательских данных. Новым источником угроз также стал искусственный интеллект. «С одной стороны, ИИ ускоряет разработку, с другой — кодовая база растёт и потенциальные ошибки накапливаются. ИИ хорошо справляется с написанием работающего кода, но именно безопасный код он умеет писать не всегда, потому что был обучен на примерах, которые сейчас представляют устаревшие или уязвимые практики разработки», — считает глава группы защиты инфраструктуры IT-решений компании «Газинформсервис» Сергей Полунин. По данным пресс-службы ГК «Солар», популярные ИИ-модели пропускают от 40 % до 50 % уязвимостей в коде. Нехватка квалифицированных специалистов только усиливает проблему накопления ошибок в коде, включая критические, т.е. способные провоцировать утечку конфиденциальной и личной информации пользователей. По данным компании, подобные уязвимости выявляются в 75 % приложений. Руководитель продукта AppSec.Sting компании AppSec Solution Никита Пинаев считает, что в 2026 году количество уязвимостей в мобильных приложениях продолжит расти. «Всё больше SDK и облачных интеграций, все больше ИИ-сгенерированного кода, тиражирующего небезопасные паттерны хранения чувствительных данных», — отметил Пинаев. По его мнению, изменить этот тренд можно «только переходом от разовых проверок к системному, риск-ориентированному подходу». Microsoft проигнорировала баги Windows, а потом пригрозила уголовным делом исследователю за их публикацию
29.05.2026 [23:56],
Анжелла Марина
Microsoft пригрозила уголовным преследованием независимому исследователю, который опубликовал код эксплойтов для использования уязвимостей в Windows после того, как компания проигнорировала его предупреждения о найденных багах. Исследователь заявил, что техногигант заблокировал ему доступ к порталу для отправки отчётов, что вынудило его раскрыть найденные ошибки публично. 
Источник изображения: xAI Конфликт разгорелся вокруг пользователя под псевдонимом Chaotic Eclipse (или Nightmare Eclipse ), который обнаружил критические баги во встроенном антивирусе Defender и инструменте шифрования BitLocker. По его словам, он пытался передать данные через официальный канал Microsoft Security Response Center, однако столкнулся с некорректным отношением и отключением своей учётной записи. Лишившись возможности согласовать исправления и, предположительно, получить причитающееся вознаграждение за найденные уязвимости, специалист выложил код эксплойтов в открытые репозитории GitHub, превратив их в угрозы нулевого дня. В ответ на публикацию Microsoft выпустила заявление, в котором обвинила исследователя в отказе от «ответственного раскрытия» информации и фактическом пособничестве киберпреступникам. Представители корпорации подчеркнули, что по их сведениям и по данным агентства по кибербезопасности CISA, некоторые из обнародованных Nightmare Eclipse ошибок уже используются хакерами в реальных атаках, и пригрозили привлечь к делу мировые правоохранительные органы. При этом аккаунты Nightmare Eclipse на платформах GitHub и GitLab были оперативно заблокированы, а сами стороны пока не ответили на запросы журналистов о дополнительных комментариях. Издание TechCrunch отмечает, что действия Microsoft вызвали волну возмущения в профессиональном сообществе, напомнив о давней борьбе исследователей за справедливую оплату найденных ошибок в рамках программ bug bounty. Основательница Luta Security и бывшая сотрудница Microsoft Кэти Муссурис (Katie Moussouris) назвала угрозы судебного преследования явным перебором, который лишь подорвёт доверие к компании и снизит общий уровень кибербезопасности. Её поддержал другой бывший сотрудник корпорации Кевин Бомонт (Kevin Beaumont), охарактеризовавший позицию руководства как «полным провалом, который она сама же и устроила». По мнению Бомонта, попытки уголовного преследования экспертов за создание концептуальных эксплойтов являются «новым дном». Серверы с ИИ-агентами по всему миру оказались под угрозой из-за ошибки фреймворка Starlette
27.05.2026 [04:58],
Анжелла Марина
Сообщество разработчиков искусственного интеллекта столкнулось с критической уязвимостью во фреймворке Starlette, который лежит в основе FastAPI, а также других популярных библиотек для Python-приложений, включая vLLM и LiteLLM. По сообщению Ars Technica, ошибка позволяет злоумышленникам проникать на серверы, похищать конфиденциальные данные и ключи доступа к сторонним сервисам. 
Источник изображения: AI Фреймворк Starlette, который, по заявлению разработчика, получает 325 миллионов загрузок в неделю, реализует асинхронный интерфейс серверного шлюза (ASGI) и имеет доступ к MCP-серверам (Model Context Protocol). Именно через них ИИ-агенты связываются с внешними базами данных, почтовыми ящиками и календарями, сохраняя при этом учётные данные для каждого подключения, что делает MCP-серверы крайне ценной целью для атак. Сама ошибка, получившая название BadHost и идентификатор CVE-2026-48710, заключается в некорректной обработке HTTP-заголовков и чрезвычайно проста в эксплуатации. По данным исследователей из компании Secwest, внедрение всего одного символа в заголовок Host позволяет обойти авторизацию на основе пути запроса: Starlette принимает невалидные значения Host-заголовка, из-за чего атрибут request.url.path начинает отличаться от реального пути, переданного по HTTP. Хотя официальная оценка опасности угрозы составляет 7 баллов из 10, специалисты из X41 D-Sec классифицируют её как критическую, указывая на риск SSRF (подделки серверных запросов) и, в некоторых случаях, удалённого выполнения кода. Проблема напрямую затрагивает множество зависимых пакетов, среди которых выделяются vLLM и LiteLLM, а также прокси-серверы с совместимостью OpenAI, инструменты для управления ИИ-агентами, панели управления моделями и интерфейсы для оценки их работы. В ходе сканирования сети исследователь Маркус Вервьер (Markus Vervier) обнаружил, что в открытом доступе оказались базы данных клинических испытаний в биофармацевтике, системы верификации личности, SSH-доступ к IoT-устройствам, почтовые ящики SaaS-сервисов с возможностью чтения, HR-системы с личными данными соискателей работы, электронная почта, а также инструменты облачного мониторинга и кибербезопасности. Разработчик фреймворка не ответил на запрос о комментариях, однако в минувшую пятницу выпустил исправленную версию Starlette 1.0.1, а компания X41 D-Sec в партнёрстве с другой компанией в сфере безопасности, Nemesis, создала онлайн-сканер, который может проверить, уязвим ли тот или иной сервер. В популярной ОС для роботов обнаружена уязвимость, позволяющая перехватывать управление
26.05.2026 [18:07],
Павел Котов
Во всех версиях операционной системы для роботов вплоть до Universal Robots PolyScope 5.25.1 выявлена уязвимость за номером CVE-2026-8153 со степенью угрозы 9,8 из 10. Получивший доступ к сетевому порту Dashboard Server неавторизованный злоумышленник может отдавать команды, которые выполняются в базовой ОС робота. 
Источник изображения: Cash Macanaya / unsplash.com Уязвимость может привести к полной компрометации контроллера робота, повлиять на конфиденциальность, целостность и доступность всей системы. Гипотетический злоумышленник может внедрять произвольные команды, которые робот будет выполнять, с полными системными привилегиями. Разработчик выпустил обновление PolyScope 5.25.1, которое разместил на сайте, но клиентам придётся устанавливать его самостоятельно. Для эксплуатации уязвимости в удалённом режиме необходимо, чтобы компонент Dashboard Server был включён в пользовательском интерфейсе, а сетевой порт — доступен для злоумышленника. Продукты Universal Robots не предназначены для прямого доступа из интернета, подчеркнул разработчик, а доступ к локальной сети обычно блокируется корпоративными средствами защиты. Это значит, что атаку на робототехнику можно произвести, если взломать находящуюся в той же локальной сети рабочую станцию. Поведение взломанного робота может быть непредсказуемым, поскольку управление им перехватывает неизвестное лицо. Не исключается даже сценарий, при котором робот сможет причинить вред находящемуся рядом с ним персоналу. В Linux обнаружена очередная серьёзная уязвимость — и ей уже десять лет
23.05.2026 [16:57],
Павел Котов
В ОС Linux обнаружена серьёзная уязвимость, позволяющая любому пользователю получить административный доступ к машине. Ошибка существует в коде платформы с 2016 года — она затрагивает популярные дистрибутивы, в том числе Red Hat, SUSE, Debian, Fedora, AlmaLinux и CloudLinux. 
Источник изображения: Fotis Fotopoulos / unsplash.com Потенциальный злоумышленник может воспользоваться уязвимостью для чтения закрытых файлов и выполнения команд с наивысшим уровнем привилегий. Уязвимость за номером CVE-2026-46333 имеет среднюю степень угрозы (5,5 из 10). Когда выполняемая с правами администратора программа переходит в режим завершения работы, Linux должен немедленно прерывать доступ других программ к ней. Но из-за ошибки это происходит на долю секунды позже, чем следует, что позволяет обычным, непривилегированным пользователям использовать этот короткий промежуток времени. Потенциальный злоумышленник может получить копию открытых соединений и файлов закрывающейся программы, прежде чем они исчезнут. Обнаружившие проблему специалисты компании Qualys создали четыре работающих эксплойта, демонстрирующих практическую опасность — работоспособность эксплойтов подтвердилась на дистрибутивах Debian 13, Ubuntu 24.04/26.04, Fedora 43 и 44. Исследователи в конфиденциальном порядке сообщили о проблеме специалистам по безопасности ядра Linux 11 мая 2026 года, и три дня спустя, 14 мая, был выпущен соответствующий патч, но вскоре после этого появился независимый эксплойт, основанный на публичном коммите — это нарушило эмбарго и вынудило разработчиков раскрыть информацию о проблеме. Администраторам систем рекомендуется немедленно обновить ядро; если это не представляется возможным, следует увеличить значение параметра «kernel.yama.ptrace_scope» до «2», что заблокирует публичные эксплойты. Хостам, на которых на момент действия уязвимости находились недоверенные локальные пользователи, рекомендуется рассматривать ключи SSH и локально кешированные учётные данные как скомпрометированные, и как можно скорее их заменить. Microsoft придумала временную заплатку для уязвимости YellowKey в BitLocker
22.05.2026 [12:00],
Павел Котов
Ранее эксперт в области кибербезопасности под псевдонимом Nightmare-Eclipse рассказал об уязвимостях, которые обозначил как YellowKey и GreenPlasma и даже создал эксплойты для них. Microsoft предложила временное решение проблемы YellowKey. 
Источник изображения: BoliviaInteligente / unsplash.com Схема атаки YellowKey основана на уязвимости в среде восстановления Windows (WinRE), которую можно использовать для обхода средств шифрования BitLocker. В Microsoft эту уязвимость в полной мере пока не закрыли, но предложили способ частично её устранить — это потребует некоторых действий со стороны администраторов систем. Лучший способ защититься от YellowKey, отметили в Microsoft, — это настроить BitLocker так, чтобы он одновременно обращался к TPM и требовал ввести PIN-код; можно также удалить файл AutoFSTX.exe из BootExecute в WinRE. Пользователям BitLocker, чьи системы уже защищены PIN-кодом, можно не беспокоиться о YellowKey; остальным же рекомендовано следовать инструкциям Microsoft и запустить скрипт для решения проблемы. Эксперты в области кибербезопасности компании LevelBlue изучили открытые Nightmare-Eclipse уязвимости и отметили, что большинство проблем Microsoft так и не решила. Компания защитила Windows от эксплойта BlueHammer для Windows Defender, но не от RedSun и UnDefend. Схему атаки YellowKey частично удалось нейтрализовать, но вопрос с эксплойтом GreenPlasma остаётся открытым — к счастью, автор исследования не привёл его целиком. В части YellowKey специалисты LevelBlue порекомендовали отключить в системах загрузку с USB-накопителей, включить механизм ASR в Microsoft Defender и принять иные меры предосторожности. Следует отметить, что для эксплуатации обнаруженных уязвимостей требуется либо прямой доступ к компьютеру, либо удалённый доступ через скомпрометированные учётные данные — например, через украденный аккаунт VPN. Microsoft нашла пару уязвимостей нулевого дня в «Безопасности Windows» и рекомендует срочно обновиться
21.05.2026 [16:28],
Дмитрий Федоров
Microsoft устранила две уязвимости нулевого дня в антивирусной защите «Безопасность Windows» (Windows Defender), которые использовались в реальных кибератаках. Компания выпустила обновления Malware Protection Engine и Antimalware Platform. Накануне Агентство по кибербезопасности и защите инфраструктуры США (CISA) внесло обе угрозы в каталог эксплуатируемых уязвимостей (KEV) и обязало федеральные ведомства устранить их до 3 июня. 
Источник изображения: microsoft.com Первая уязвимость, CVE-2026-41091, затрагивает Malware Protection Engine версий 1.1.26030.3008 и старше. Этот модуль защиты от вредоносных программ отвечает за сканирование, обнаружение и удаление угроз в антивирусных и антишпионских продуктах Microsoft. Используя уязвимость злоумышленник, получивший локальный доступ к устройству, может обмануть Defender при работе со ссылками на файлы и выполнить действия с правами администратора. Вторая уязвимость, CVE-2026-45498, касается Antimalware Platform версий 4.18.26030.3011 и старше. Этот набор инструментов безопасности также применяется в System Center Endpoint Protection, System Center 2012 R2 Endpoint Protection, System Center 2012 Endpoint Protection и Security Essentials. Её эксплуатация позволяет вызвать отказ в обслуживании (DoS) на необновлённых устройствах под управлением Windows. Microsoft выпустила обновления, закрывающие уязвимости в Microsoft Malware Protection Engine и Microsoft Defender Antimalware Platform: защищёнными считаются версии Malware Protection Engine 1.1.26040.8 и Defender Antimalware Platform 4.18.26040.7 или новее. Компания отметила, что при стандартной конфигурации действия со стороны пользователей обычно не требуются, поскольку антивирусные базы и платформа Defender обновляются автоматически. Тем не менее пользователям и администраторам стоит убедиться, что автообновления Defender включены, и проверить установленные версии Engine и Platform вручную. Для этого необходимо открыть Windows Security, перейти в Virus & threat protection → Protection Updates → Check for updates, затем в Settings → About и сверить номер версии платформы или пакета сигнатур с актуальной. CISA внесло обе уязвимости в KEV и обязало федеральные гражданские ведомства защитить конечные устройства и серверы Windows за две недели — до 3 июня, как предписывает обязательная операционная директива Binding Operational Directive (BOD) 22-01. «Уязвимости такого типа часто становятся вектором атак для злоумышленников и представляют значительную угрозу для федеральных систем», — предупредило агентство. CISA также рекомендовало применить меры противодействия по инструкциям производителя, следовать указаниям BOD 22-01 для облачных сервисов или прекратить использование продукта, если меры противодействия недоступны. Google случайно опубликовала эксплойт для уязвимости Chromium, которую не исправляет уже 29 месяцев
21.05.2026 [06:17],
Дмитрий Федоров
Google выложила в открытый доступ код эксплойта для уязвимости в браузере Chromium, о которой ей сообщили 29 месяцев назад и которая до сих пор не исправлена. Проблема затрагивает миллионы пользователей Chrome, Microsoft Edge и других браузеров на основе Chromium — включая Brave, Opera, Vivaldi и Arc. Браузеры Firefox и Safari уязвимости не подвержены. 
Источник изображения: chromium.org Эксплойт использует API фоновой загрузки (Background Fetch) — механизм для скачивания крупных файлов в фоновом режиме. Через него злоумышленник запускает на устройстве жертвы фоновый процесс (сервис-воркер), который остаётся постоянно активным. Соединение инициируется кодом на вредоносном сайте и в зависимости от браузера либо восстанавливается, либо сохраняется даже после перезагрузки устройства. Фактически устройство превращается в часть ограниченного ботнета (сети заражённых устройств): может заходить на вредоносные сайты, выступать анонимным прокси-сервером, участвовать в DDoS-атаках и отслеживать активность пользователя. Эксплойт способен объединить тысячи, а то и миллионы устройств. Лира Ребейн (Lyra Rebane), независимый исследователь, обнаружившая уязвимость и конфиденциально сообщившая о ней в Google в конце 2022 года, заявила, что воспользоваться эксплойтом, по её словам, довольно просто, хотя его масштабирование потребует усилий. Два разработчика Chromium назвали проблему серьёзной уязвимостью с уровнем критичности S1 — вторым по серьёзности. Уязвимость 29 месяцев оставалась неизвестной за пределами команды Chromium. В среду утром она появилась в открытом баг-трекере проекта. Ребейн сначала решила, что проблему устранили, но выяснила: патч не вышел. Google удалила публикацию, однако она вместе с кодом эксплойта по-прежнему доступна на архивных сайтах. Компания не ответила на запрос о причинах и сроках исправления. По словам Ребейн, долгие задержки с патчами — обычное дело, но в этот раз срок оказался рекордным. Она объяснила это тем, что уязвимость не выходит за привычные границы безопасности и не даёт доступа к почте или компьютеру, из-за чего назначенные сотрудники Google не разобрались в проблеме. Обнаружить эксплойт трудно, и неопытный пользователь, скорее всего, спишет это на мелкий баг. По данным внутренних логов, функция фоновой загрузки используется в Chrome минимально — в среднем около 17 файлов на пользователя в день, что, по мнению разработчиков, подтверждает отсутствие масштабной эксплуатации уязвимости. Ребейн сомневается в эксплуатации за пределами Chrome, но рекомендует пользователям Chromium-браузеров обращать внимание на окна загрузок, появляющиеся без причины. Nvidia призвала пользователей срочно обновить старые драйверы GeForce — в них нашли семёрку опасных уязвимостей
20.05.2026 [00:42],
Николай Хижняк
Компания Nvidia выпустила майский бюллетень безопасности, в котором описаны семь новых уязвимостей в драйверах видеокарт и программном обеспечении vGPU. Эти уязвимости варьируются от средней до высокой степени серьёзности. Некоторые из них могут привести к «изменению данных и выполнению кода», отмечает компания. 
Источник изображения: Overclock3d Уязвимости в драйверах Nvidia затрагивают пользователей видеокарт GeForce, RTX, Quadro, Tesla и NVS в Windows и Linux. Для решения этих проблем Nvidia рекомендует обновить драйверы до последней версии. Ниже приведены официальные рекомендации Nvidia. 
 Для пользователей Windows следует отметить, что все эти уязвимости устранены в драйвере версии 596.36 и более новых. Последняя публичная версия драйвера — GeForce Game Ready 596.49 — была выпущена 12 мая. «Nvidia выпустила обновление безопасности для драйверов видеокарт Nvidia, чтобы устранить проблемы, описанные в этом бюллетене. Для защиты вашей системы загрузите и установите обновление программного обеспечения через страницу загрузки драйверов Nvidia. Для обновлений программного обеспечения vGPU и Cloud Gaming скачайте его через портал лицензирования Nvidia», — говорится в заявлении компании. Эксплойт Fabricked тайно ломает аппаратную защиту чипов EPYC со 100-% успехом — AMD уже выпустила патч
19.05.2026 [17:29],
Николай Хижняк
В апреле исследователи из Швейцарской высшей технической школа Цюриха раскрыли программную уязвимость, которая незаметно для пользователя компрометирует аппаратную защиту AMD SEV-SNP для конфиденциальных вычислений на платформах AMD EPYC, предоставляя вредоносному облачному хосту полный доступ для чтения и записи в защищённой памяти виртуальной машины. 
Источник изображения: AMD Метод, получивший название Fabricked, использует недостатки процесса обработки шиной Infinity Fabric маршрутизации памяти во время загрузки и может подделывать отчёты о криптографической проверке, на которые пользователи полагаются, чтобы убедиться, что их среда не была взломана. Исследователи представили результаты в рамках документа USENIX Security 2026, описав эксплойт как полностью детерминированный со 100-процентной вероятностью успеха, без необходимости физического доступа и выполнения кода внутри виртуальной машины-жертвы. Конфиденциальные вычисления предназначены для решения фундаментальной проблемы доверия в облачной инфраструктуре: у арендаторов вычислительных мощностей часто нет возможности проверить, что облачный провайдер не имеет доступа к их данным. Технология AMD SEV-SNP решает эту проблему, создавая аппаратно-изолированные конфиденциальные виртуальные машины, в которых память шифруется, а доступ контролируется специальным встроенным процессором безопасности под названием PSP. Чтобы обеспечить защиту SEV-SNP использует структуру под названием Reverse Map Table — таблицу управления доступом для каждой страницы, хранящуюся в памяти, — которую PSP безопасно инициализирует во время загрузки. Аттестация, механизм, с помощью которого арендаторы криптографически проверяют, что их среда является подлинной и нетронутой, зависит от наличия этой цепочки. Эксплоит Fabricked предназначен для обхода этого процесса. Метод основан на компоненте, о котором большинство пользователей никогда не задумываются — Infinity Fabric, внутреннем межчиплетном соединении AMD, которое отвечает за маршрутизацию трафика памяти между ядрами процессора, контроллерами памяти и периферийными устройствами. Поскольку конфигурации платформы различаются в зависимости от аппаратного обеспечения, части Infinity Fabric должны настраиваться во время каждой загрузки с помощью встроенного программного обеспечения материнской платы — UEFI. Согласно собственной модели угроз AMD, этой встроенной программе нельзя явно доверять, поскольку её контролируют облачные провайдеры. Исследователи обнаружили, что UEFI отвечает за выполнение двух вызовов PSP API, которые блокируют регистры конфигурации Infinity Fabric после инициализации. Скомпрометированный UEFI может просто пропустить их, оставив Data Fabric (слой маршрутизации памяти в Infinity Fabric) доступным для записи злоумышленником даже после активации SEV-SNP. После этого эксплойт использует второй, едва заметный недостаток. Исследователи обнаружили, что запросы на доступ к памяти PSP некорректно проверялись на соответствие правилам маршрутизации MMIO (правилам, которые обычно используются для взаимодействия с аппаратными устройствами) до применения стандартных правил маршрутизации DRAM. Настроив эти сопоставления MMIO таким образом, чтобы они затеняли область памяти RMP, злоумышленник может добиться того, что записи инициализации PSP будут игнорироваться. RMP не настраивается должным образом, но SEV-SNP всё равно сообщает об успешной инициализации. В результате платформа считает систему безопасной, хотя на самом деле это не так. При наличии неинициализированной RMP, находящейся под контролем злоумышленника, гипервизор может считывать и записывать данные в произвольную область памяти CVM. Исследователи продемонстрировали два конкретных эксплойта: включение режима отладки на работающей CVM после аттестации, что даёт гипервизору возможность расшифровывать произвольную область памяти виртуальной машины, оставаясь незамеченным для гостевой системы; и массовую подмену отчётов об аттестации, что позволяет использовать вредоносный образ в качестве доверенного. Исследователи подтвердили возможность использования этого эксплойта на процессорах AMD EPYC на Zen 5. В рекомендациях AMD также перечислены обновления встроенного ПО для процессоров Zen 3 и Zen 4, что указывает на наличие уязвимостей в процессорах разных поколений. AMD признала наличие уязвимости после того, как в августе 2025 года исследователи сообщили о ней. Компания присвоила ей идентификатор CVE-2025-54510 и опубликовала рекомендации по обеспечению безопасности в рамках бюллетеня AMD-SB-3034 после снятия эмбарго на публикацию отчёта об уязвимости в апреле 2026 года. Организациям, использующим конфиденциальные вычисления на базе процессоров AMD EPYC, следует уточнить у своего облачного провайдера, установлено ли обновлённое встроенное ПО, закрывающее данную уязвимость. AMD выпустила исправления для платформ Zen 3, Zen 4 и Zen 5. Потребительские компьютеры и системы обычных облачных сервисов, не использующие конфиденциальные вычисления SEV-SNP, не подвержены этой уязвимости. «Бессмысленная фиктивная работа»: ИИ завалил разработчиков Linux дублями сообщений об уязвимостях
18.05.2026 [18:51],
Сергей Сурабекянц
Основатель Linux Линус Торвальдс (Linus Torvalds) в своём последнем сообщении о состоянии ядра заявил, что «постоянный поток сообщений об ошибках, генерируемых ИИ, сделал список уязвимостей безопасности практически полностью неуправляемым, с огромным дублированием из-за того, что разные люди обнаруживают одни и те же проблемы с помощью одних и тех же инструментов». 
Источник изображения: xAI По мнению Торвальдса, «предельно ясно: если вы обнаружили ошибку с помощью инструментов ИИ, велика вероятность, что кто-то другой тоже её обнаружил». Он назвал дублирующиеся отчёты об ошибках «совершенно бессмысленной рутиной». Торвальдс подчеркнул, что обнаруженные ИИ ошибки по определению не являются секретными, а их обработка в каком-либо закрытом списке — пустая трата времени для всех участников. Более того, это только усугубляет дублирование, потому что авторы сообщений о найденных уязвимостях не видят отчётов других исследователей. «Инструменты ИИ — это здорово, но только если они действительно помогают, а не причиняют ненужную боль и не создают бессмысленную фиктивную работу. Можете использовать их, но используйте продуктивно и для улучшения пользовательского опыта, — продолжил Торвальдс. — Если вы действительно хотите принести пользу, прочитайте документацию, создайте патч и добавьте реальную ценность к тому, что сделал ИИ. Не будьте тем, кто просто отправляет случайный отчёт, не имея реального понимания». Старший инженер по безопасности продуктов GitHub Джаром Браун (Jarom Brown) аналогичным образом отреагировал на волну недавних сообщений об ошибках, связанных с ИИ, заявив, что, хотя у GitHub «нет проблем» с инструментами ИИ в целом, сообщения об ошибках, созданные с помощью ИИ, должны быть проверены, чтобы приносить пользу. «Сообщение об ошибке, созданное с помощью ИИ, которое было проверено, воспроизведено и представлено с рабочим доказательством концепции, — это отличная заявка. Непроверенный результат, представленный как есть без воспроизведения или продемонстрированного влияния, — нет», — отметил он. Браун порекомендовал отдавать приоритет не количеству найденных ошибок, а глубине исследования. По его мнению, одно хорошо исследованное и проверенное сообщение стоит больше, чем десять предположительных — как с точки зрения вознаграждения, так и репутации. Он также обратил внимание, что больше всего на программе GitHub по поиску ошибок зарабатывают те, кто глубоко погружается в проблему и всесторонне её изучает. Хакер опубликовал эксплойт для полного захвата Windows 11 — уязвимость не закрыта с 2020 года
18.05.2026 [10:07],
Дмитрий Федоров
Исследователь по кибербезопасности, известный под псевдонимом Хаотик Эклипс (Chaotic Eclipse), выложил на GitHub экспериментальный эксплойт MiniPlasma для уязвимости нулевого дня в Windows. Эксплойт позволяет получить привилегии SYSTEM — максимальный уровень доступа — на полностью обновлённых системах. Автор опубликовал и исходный код, и скомпилированный файл, заявив, что Microsoft так и не устранила уязвимость, впервые обнаруженную ещё в 2020 году. 
Источник изображения: Imam Fadly / unsplash.com Ресурс BleepingComputer подтвердил работоспособность эксплойта на Windows 11 Pro с обновлениями мая 2026 года: из-под обычной учётной записи открылась командная строка с правами SYSTEM. Ведущий аналитик уязвимостей компании Tharros Уилл Дорманн (Will Dormann) получил тот же результат, но отметил, что в сборке Insider Preview Canary уязвимость не воспроизводится. Эксплойт использует особенности обработки ключей реестра драйвером cldflt.sys через недокументированный API CfAbortHydration. Уязвимость позволяет создавать произвольные ключи в ветке .DEFAULT без проверки прав, что открывает путь к повышению привилегий. 
Эксплойт MiniPlasma, запущенный из-под обычного пользователя BleepTest, повысил привилегии до nt authority\system — об этом свидетельствует правое окно командной строки с результатом команды whoami. Источник изображения: bleepingcomputer.com MiniPlasma — последняя в серии публикаций об уязвимостях нулевого дня в Windows, которые исследователь раскрывает на протяжении нескольких недель. Волна началась в апреле с BlueHammer (CVE-2026-33825), затем последовали RedSun и инструмент UnDefend для отказа в обслуживании Windows Defender. Все три уязвимости были замечены в реальных атаках. В мае исследователь дополнительно выпустил YellowKey — обход BitLocker на Windows 11 и Windows Server 2022/2025 — и GreenPlasma. Добро пожаловать в «вулнапокалипсис»: ИИ начал находить уязвимости быстрее, чем их успевают исправлять
14.05.2026 [13:13],
Владимир Фетисов
Калифорнийская Palo Alto Networks, работающая в сфере информационной безопасности, обычно устраняет пять уязвимостей в месяц. Однако в этом месяце компания просканировала всю свою кодовую базу с помощью передовых ИИ-алгоритмов, включая Anthropic Mythos, и обнаружила 75 проблемных мест, охватывающих 23 уязвимости в классификации CVE. 
Источник изображения: Sasun Bughdaryan / unsplash.com Это лишь один пример того, как ИИ-технологии ускоряют поиск уязвимостей и их устранение, из-за чего стремительно растёт число выпускаемых патчей. На этом фоне даже появился термин «вулнапокалипсис», первая часть которого означает «уязвимость» (vulnerability). Ранее на этой неделе Microsoft заявила, что новая ИИ-система поиска багов MDASH помогла софтверному гиганту выявить 17 уязвимостей в разных продуктах. Это сообщение появилось вместе с выпуском очередного пакета обновлений безопасности в рамках программы Patch Tuesday. Вместе с этим Microsoft раскрыла информацию сразу о 30 исправленных критических уязвимостях, что стало рекордным показателем для софтверного гиганта. На прошлой неделе Mozilla сообщила, что в апреле разработчики исправили 423 бага в Firefox. Это более чем в пять раз больше 76 исправлений, которые были выпущены в марте, и почти в 20 раз больше среднемесячного показателя за прошлый год, когда Mozilla в среднем исправляла 21,5 ошибки в месяц. Ранее Mozilla сообщала, что ИИ-алгоритм Mythos обнаружил 271 уязвимость в Firefox 150. Сейчас, когда ИИ-модели стали действительно хороши в поиске ошибок в программном коде, специализирующиеся на ИБ-безопасности компании используют их для сканирования собственного ПО, надеясь отыскать и устранить уязвимости до того, как они будут обнаружены злоумышленниками. Эта деятельность сводится к двум вещам: большому количеству патчей и большому объёму работы для администраторов ИТ-систем. «На первых порах да, это означает больше патчей и, следовательно, больше работы для администраторов. Со временем главной целью станет устранение как можно большего количества уязвимостей, и со временем этот ежемесячный показатель пойдёт на спад», — считает Дастин Чайлдс (Dustin Childs), ИБ-специалист и участник проекта Zero Day Initiative. Он также добавил, что весь этот процесс может оказаться весьма «болезненным», поскольку многочисленные патчи не будут работать должным образом или, что ещё хуже, будут нарушать работоспособность других систем. «Многие клиенты и так не доверяют патчам, поэтому если патчи, связанные с ИИ, будут что-то ломать, то со временем клиенты будут реже их устанавливать. Это также справедливо к случаям, когда ИИ только находит баги, но не генерирует патчи», — считает Чайлдс. Это совершенно не значит, что ИБ-компаниям следует избегать использования ИИ-инструментов для поиска и устранения уязвимостей. «Все вендоры должны использовать доступные им инструменты, чтобы находить и устранять баги до того, как их начнут использовать злоумышленники. В идеале нужно обнаруживать баги ещё до выпуска продукта, но я не слишком рассчитываю, что это станет реальностью», — добавил Чайлдс. Microsoft и Palo Alto Networks являются участниками проекта Anthropic Project Glasswing, в рамках которой разрешено использование нашумевшей ИИ-модели Mythos для поиска уязвимостей в собственных продуктах. Palo Alto Networks начала тестировать Mythos в апреле. С тех пор компания продолжает использовать эту ИИ-модель, а также другие продукты, включая Claude Opus 4.7 и OpenAI GPT-5.5-Cyber. ИИ-модели просканировали 130 продуктов и сервисов Palo Alto Networks и, как уже упоминалось, выявили 75 проблемных мест. Компания устранила все уязвимости до того, как их обнаружили злоумышленники. В Palo Alto Networks выразили готовность устранять каждую обнаруженную уязвимость до того, как продвинутые ИИ-алгоритмы станут широко доступны, и их смогут задействовать злоумышленники. По оценкам компании, у организаций есть запас в 3-5 месяцев, после чего эксплойты на основе ИИ начнут становиться нормой. В Windows нашёлся бэкдор для «вскрытия» дисков, зашифрованных BitLocker — доступ к данным можно получить без ввода пароля
14.05.2026 [12:14],
Павел Котов
Исследователь в области кибербезопасности, выступающий под псевдонимом Chaotic Eclipse (или Nightmare Eclipse), демонстративно опубликовал рабочие схемы эксплуатации уязвимостей нулевого дня в Windows — одна позволяет взламывать систему шифрования BitLocker, а вторая — повышать привилегии пользователя до системных. 
Источник изображений: github.com/Nightmare-Eclipse Chaotic Eclipse решился на публикацию схем атаки в знак протеста против политики Microsoft — софтверный гигант, по его словам, не раскрывает уязвимостей Windows, а просто негласно их исправляет. Первой уязвимости эксперт присвоил название YellowKey — её эксплуатация позволяет обходить защиту BitLocker, работая на Windows 11 и Windows Server 2022/2025. Она восходит к особенности реализации технологии: при работе с TPM система BitLocker автоматически расшифровывает диски, избавляя пользователя от необходимости каждый раз вводить пароль. Чтобы обмануть систему, злоумышленник записывает на флешку или в раздел EFI подменные NTFS-транзакции в файлах FsTx, которые при переходе в режим восстановления системы WinRE и запуске оболочки с удержанием клавиши Ctrl автоматически выполняются. В результате при входе в режим восстановления гипотетический злоумышленник видит не собственно среду восстановления Windows, а интерфейс командной строки при запущенном файле «cmd.exe» — важно, что при этом диск уже расшифрован, и открыт доступ ко всем его данным. Эксперты предположили, что защититься от этой схемы атаки можно, добавив запрос PIN-кода перед входом в режим восстановления Windows — автор эксплойта, однако, утверждает, что существует версия атаки и для такого варианта, но публиковать её не стал. Подчёркивается также, что указанная схема взлома работает только при доступе к целевому компьютеру — выкрасть диск и расшифровать его где-то ещё не получится.  Эксплуатация уязвимости GreenPlasma позволяет любому пользователю повышать привилегии до уровня SYSTEM. Принцип атаки связан с тем, что некоторые компоненты, например, привилегированные службы и драйверы, доверяют объектам в памяти, исходя из их местоположения, и не проверяют при этом владельца этих объектов. Chaotic Eclipse не стал публиковать полную схему атаки, но уточнил, что достаточно подготовленный специалист может доработать её самостоятельно и обеспечить повышение привилегий любого пользователя до уровня SYSTEM. Эксплойт позволяет размещать в этих доверенных областях памяти собственные объекты, манипулируя данными и различными службами, в том числе драйверами в режиме ядра. В Microsoft уже отреагировали на инцидент, пообещав в кратчайшие сроки выпустить обновления, которые закрывают эти уязвимости. «Мы также поддерживаем скоординированное раскрытие информации об уязвимостях, широко распространённую в отрасли практику, которая помогает в проведении тщательных расследований и устранении проблем до их публичного раскрытия, поддерживая как защиту клиентов, так и сообщество исследователей в области безопасности», — заявил представитель компании ресурсу BleepingComputer. |
© 1997—2026 Электронное периодическое издание "3ДНьюс" | Свидетельство о регистрации СМИ Эл ФС 77-22224
выдано Федеральной Службой по надзору за соблюдением законодательства в сфере массовых коммуникаций и охране культурного наследия
При цитировании документа ссылка на сайт с указанием автора обязательна. Полное заимствование документа является
нарушением
российского и международного законодательства и возможно только с согласия редакции 3DNews.
MWC 2018
2018
Computex
IFA 2018
