Компания Intel 1 мая 2025 года выпустила обновление микрокода для процессоров серий Raptor Lake и Raptor Lake Refresh после обнаружения новой уязвимости, связанной с ранее известной проблемой Spectre. Исследователи из швейцарского университета ETH Zurich выявили, что ошибка затрагивает процессоры Intel, начиная с поколения Skylake (2018 год).

Обнаруженная уязвимость вновь позволяет злоумышленникам использовать технику инъекций команд ветвления («branch privilege injection») для доступа к защищённой информации, хранящейся в памяти компьютера. В компании Intel сообщили, что выпущенное обновление успешно закрывает эту проблему, однако оно негативно влияет на производительность старых процессоров.

Согласно данным исследователей из ETH Zurich, обновление микрокода замедлит работу процессоров Alder Lake примерно на 2,7 %, Skylake (Coffee Lake Refresh) — на 1,6 %, а наибольшее падение производительности ожидает владельцев чипов 11-го поколения Rocket Lake — на 8,3 %. В Intel при этом подчеркнули, что снижение производительности у большинства моделей останется в пределах естественных колебаний.

В официальном заявлении представители Intel поблагодарили исследователей ETH Zurich за координированное раскрытие уязвимости, уточнив, что на текущий момент неизвестны случаи её реального использования хакерами. Компания также рекомендовала всем пользователям обновить систему через Windows Update или официальные прошивки производителя устройств.

Уязвимости класса Spectre и Meltdown впервые были обнаружены в 2018 году и с тех пор периодически возвращаются, вынуждая производителей процессоров и операционных систем регулярно выпускать исправления. Эти ошибки имеют особое значение для индустрии, так как напрямую влияют на безопасность данных пользователей и требуют постоянного внимания со стороны разработчиков аппаратного и программного обеспечения.

Группа специалистов из Амстердамского свободного университета (Vrije Universiteit Amsterdam) выявила серию уязвимостей Spectre-v2, получивших кодовое название Training Solo. Эти атаки позволяют обходить защитные механизмы процессоров Intel, такие как IBPB и eIBRS, и извлекать данные из памяти ядра со скоростью до 17 Кбайт/с, а из гипервизора со скоростью 8,5 Кбайт/с. Эксплойты уже опубликованы в открытом доступе на GitHub.

Источник изображения: Kandinsky

Как сообщает OpenNET, в основе Spectre-v2 лежит манипуляция предсказанием переходов в процессоре. Злоумышленник заставляет систему спекулятивно выполнять инструкции, оставляя в кеше следы данных, которые затем можно извлечь, анализируя время доступа. Training Solo отличается тем, что вместо запуска своего кода атакующие используют уже существующие фрагменты кода в ядре или гипервизоре, делая, таким образом, атаку более завуалированной.

Источник изображения: opennet.ru

Исследователи описали три варианта реализации атак Training Solo. Первый способ заключается в использовании SECCOMP для подмены BPF-фильтров и создания ложных переходов (скорость утечки — 1,7 Кбайт/с). Второй метод основан на IP-коллизиях в буфере переходов (BTB), когда один переход влияет на другой. Третий метод, самый быстрый (17 Кбайт/с), использует такие аппаратные уязвимости, как CVE-2024-28956 (ITS) и CVE-2025-24495, позволяющие прямым переходам влиять на косвенные. Интересно, что на тестировании один из этих методов позволил считать хеш-значение пароля пользователя root всего за 60 секунд.

Источник изображения: opennet.ru

Атакам подвержены чипы Intel с поддержкой eIBRS, включая Coffee Lake и Lion Cove. Уязвимость ITS (CVE-2024-28956) затрагивает Core 9–11 поколений и Xeon 2–3 поколений, а уязвимость CVE-2025-24495 угрожает новейшим Lunar Lake и Arrow Lake. Одновременно AMD заявила, что её процессоры не подвержены данным атакам, а компания Arm уточнила, что в зоне риска находятся только старые чипы без поддержки современных расширений FEAT_CSV2_3 и FEAT_CLRBHB.

Все найденные проблемы уже получили исправления от производителей. Intel выпустила обновление микрокода с новой инструкцией IBHF, а в Linux добавлены патчи, блокирующие эксплуатацию через cBPF. Для старых процессоров рекомендована программная очистка буфера переходов. Также в ядре внедрён механизм выноса косвенных переходов в верхнюю часть строки кеша.

Отмечается, что угроза актуальна для облачных провайдеров и виртуальных сред, где возможна утечка между гостевыми системами и управляющим хостом. Владельцам серверов на Intel рекомендуется как можно скорее установить обновления, а пользователи AMD и современных Arm-чипов могут не опасаться — их системы защищены на аппаратном уровне.

Компания PCAutomotive из Венгрии, занимающаяся вопросами кибербезопасности, на конференции Black Hat Asia 2025 представила эксплойт и демонстрацию удалённого доступа к электромобилю Nissan LEAF 2020 года выпуска. Используя уязвимости Bluetooth и оборудование автомобиля, хакеры смогли следить за машиной, её пассажирами и даже перехватили управление рулевым колесом — и не только.

Источник изображения: PCAutomotive

Обнаруженная уязвимость представляет собой набор из десяти ошибок в протоколах Bluetooth и системах электромобиля. Информация об уязвимости была передана компании Nissan ещё в 2024 году. Фактически всё, что команда PCAutomotive показала в видеоролике и рассказала во время презентации, уже закрыто патчами как со стороны автопроизводителя, так и компаниями в цепочке поставок. Потеря управления автомобилем в процессе движения — это крайне серьёзная угроза, хотя и утечка конфиденциальных данных также не сулит ничего хорошего.

С помощью «пары штуковин с eBay», клавиатуры и эксплойта специалисты смогли удалённо подключиться к электромобилю Nissan LEAF. Они получили доступ к данным GPS, к разговорам в салоне, могли делать снимки с помощью встроенной камеры и воспроизводить звук через мультимедийную систему автомобиля. Также был получен доступ к большинству систем машины — от управления зеркалами и стеклоочистителями до вращения рулевого колеса.

Подобную уязвимость команда PCAutomotive ранее обнаружила и в автомобилях Škoda. Однако в случае с этой маркой дело ограничилось перехватом мультимедийных функций и слежением — доступ к системам управления получить не удалось. С Nissan LEAF ситуация зашла гораздо дальше и приняла особенно тревожный оборот.

Утилита управления драйверами Asus DriverHub, которая поставляется вместе с материнскими платами компании, имеет ряд уязвимостей, эксплуатация которых может позволить злоумышленникам осуществлять удалённое выполнение команд на компьютерах, где она установлена. Проблему обнаружил независимый исследователь в сфере кибербезопасности из Новой Зеландии, известный под ником MrBruh.

Источник изображения: Mika Baumeister / Unsplash

DriverHub представляет собой официальную утилиту Asus, которая предназначена для управления драйверами. Она автоматически загружается на компьютеры с определёнными материнским платами компании при первичной настройке системы. Приложение работает в фоновом режиме, автоматически определяя и загружая наиболее актуальные версии драйверов для материнской платы и чипсета. После установки утилита использует протокол удалённого вызова процедур (RPC) и порт 53000 для проверки обновлений драйверов. При этом большинство пользователей даже не подозревает, что на их ПК запущена такая служба.

Веб-сайты могут подключиться к созданной утилитой локальной службе через API-запросы. При этом она проверят заголовки входящих HTTP-запросов, чтобы отклонять всё, что приходит не от driverhub.asus.com. Однако процедура проверки плохо реализована, из-за чего служба принимает запросы от любого сайта, в имени которого содержится driverhub.asus.com, даже если он не является легитимным ресурсом, принадлежащим Asus.

Вторая проблема связана с модулем UpdateApp, который позволяет DriverHub загружать и запускать файлы с расширением .exe с URL-адресов, содержащих «.asus.com». Исследователь выяснил, что утилита сохраняет файлы, поступающие с таких URL-адресов, загружает файлы с любым расширением, выполняет подписанные файлы с правами администратора, а также не удаляет файлы, которые не прошли проверку подписи.

Фактически злоумышленник может выбрать любого пользователя, на компьютере которого запущен DriverHub, и обманом заставить его посетить вредоносный сайт. После этого с вредоносной страницы будут отправляться запросы UpdateApp локальной службе по адресу http://127.0.0.1:53000. Подмена заголовка на что-то вроде driverhub.asus.com.mrbruh.com позволяет пройти процедуру проверки подлинности, после чего DriverHub будет принимать запросы от вредоносного сайта.

В демонстрации исследователь успешно загружает легитимный установщик AsusSetup.exe с подписью Asus с портала вендора, а также вредоносный файл с расширением .ini и вредоносное ПО с расширением .exe. Программа установки с подписью Asus запускается от имени администратора и использует информацию о конфигурации в ini-файле, который направляет легитимную утилиту установки драйвера на запуск вредоносного исполняемого файла. Атака такого типа возможна ещё и потому, что утилита не удаляет файлы, которые не прошли проверку подписи вендора.

Созданная исследователем цепочка эксплойтов использует уязвимости CVE-2025-3462 и CVE-2025-3463. MrBruh уведомил Asus о проблеме 8 апреля, а соответствующее исправление вендор выпустил 18 апреля. Отмечается, что компания не предложила исследователю вознаграждение за обнаружение серьёзных уязвимостей. В описании уязвимостей на сайте Asus их значимость несколько преуменьшена. Там сказано, что проблема затрагивает только материнские платы и не касается ПК, ноутбуков и других устройств. Однако это не так, поскольку проблема затрагивает ПК и ноутбуки, на которых установлена утилита DriverHub. При этом после выхода исправления Asus настоятельно рекомендовала пользователям обновить версию DriverHub до наиболее актуальной. Использовались ли упомянутые уязвимости хакерами для проведения реальных атак, неизвестно.

Функция Apple AirPlay позволяет с лёгкостью воспроизводить музыку или демонстрировать фотографии и видео с iPhone и MacBook на других устройствах Apple или других производителей. Но в этом протоколе обнаружилась уязвимость, позволяющая гипотетическим злоумышленникам свободно перемещаться по сети между устройствами и распространять вредоносное ПО. Продукты Apple обновляются регулярно, но некоторые устройства умного дома — нет, и они способны стать плацдармами для вредоносного ПО, пишет Wired.

Источник изображений: apple.com

Эксперты специализирующейся на кибербезопасности компании Oligo раскрыли информацию о наборе уязвимостей, который они назвали AirBorne, — он создаёт угрозу для работы протокола локальной беспроводной связи Apple AirPlay. Из-за ошибки в комплекте разработки ПО (SDK) для сторонних устройств гипотетические хакеры могут взламывать широкий спектр устройств: динамики, ресиверы, телевизионные приставки и умные телевизоры, подключённые к той же сети Wi-Fi, что и машина хакера. Ещё один набор уязвимостей того же семейства AirBorne мог бы позволить использовать в тех же целях устройства Apple с AirPlay, но в последние месяцы компания закрыла эти уязвимости в обновлениях. Эксплуатировать эти уязвимости можно было лишь в том случае, когда пользователи изменяли настройки по умолчанию, добавил представитель Apple.

Подверженные уязвимости совместимые с AirPlay устройства сторонних производителей исчисляются десятками миллионов — чтобы исправить это, уйдут годы, но в действительности большинство из них так и останется уязвимым из-за ошибки в ПО Apple, говорят в Oligo. Компания уже несколько месяцев помогает технологическому гиганту закрывать уязвимости AirBorne, но если потребители не начнут устанавливать обновления на стороннюю продукцию, ничего не изменится.

Хакер может войти в сеть Wi-Fi с уязвимыми устройствами, взломав компьютер в домашней или корпоративной сети или подключившись к Wi-Fi в кафе или аэропорту. После этого он может захватить контроль над уязвимым устройством и использовать его в качестве скрытой точки входа, взлома других устройств в сети, а также включать их в ботнет, который координируется централизованно. Многие из уязвимых гаджетов располагают микрофонами, и их можно использовать для подслушивания, говорят в Oligo. Эксперты не стали создавать эталонный код эксплойта, чтобы продемонстрировать величину угрозы, но показали, как он работает на примере динамика Bose, который показал логотип Oligo.

Oligo предупредила Apple о проблеме AirBorne минувшей осенью — производитель отреагировал, выпустив соответствующие обновления безопасности при поддержке компании, которая выявила проблему. В умных колонках и телевизорах сторонних производителей могут оказаться данные пользователей, признали в Apple, хотя и в незначительных объёмах. AirBorne затронула и протокол CarPlay, который используется для подключения устройств Apple к информационно-развлекательным системам автомобилей, но в случае с CarPlay у потенциальных злоумышленников меньше возможностей сделать это.

А вот устройства в домашних сетях, напротив, представляются более подходящими мишенями для взлома — они могут стать источниками распространения вирусов-вымогателей или подконтрольными злоумышленникам средствами для шпионажа; при этом потребитель в таком оборудовании часто вообще не видит угрозы и не считает необходимым обновлять ПО для него. Набор уязвимостей AirBorne в Oligo обнаружили случайно, когда работали над другим проектом. Ситуация усугубляется тем, что некоторые производители включают поддержку AirPlay в свою продукцию, не уведомляя Apple и не придавая продукции статуса «сертифицированной».

Производители материнских плат начали развёртывать обновления BIOS на основе прошивки AGESA 1.2.0.3C с исправлением критической уязвимости EntrySign процессоров AMD Zen 5. Эта уязвимость затронула процессоры на архитектуре Zen всех поколений — обновления для моделей от Zen 1 до Zen 4 вышли ранее.

Источник изображения: amd.com

AMD начала рассылать обновление прошивки производителям материнских плат в конце марта. Каждому требуется какое-то время для её интеграции в свой код BIOS, поэтому обновления BIOS начали выходить только сейчас — в частности, MSI уже выпустила его для некоторых материнских плат серии 800.

Обнаруженная экспертами Google уязвимость EntrySign позволяет выполнять на процессоре неподписанный, в том числе вредоносный код — она возникла из-за некорректной работы процесса проверки подписи AMD, в котором использовался слабый алгоритм хеширования AES-CMAC. Для эксплуатации уязвимости требуется доступ к ядру операционной системы (кольцо 0), то есть в большинстве случаев потенциальным злоумышленникам понадобится воспользоваться несколькими другими ошибками, чтобы выйти на этот уровень доступа. Кроме того, такой микрокод с «горячей» загрузкой не сохраняется при перезагрузке. При выключении и перезагрузке компьютера микрокод сбрасывается до встроенного в процессор с завода и позже может изменяться средствами BIOS и ОС, что служит ещё одним защитным барьером.

Помимо ПК, эта уязвимость представляет угрозу для серверных процессоров, в том числе семейства AMD Turin (EPYC 9005), позволяет обходить такие средства защиты как SEV и SEV-SNP — и открывать доступ к закрытым данным с виртуальных машин. На данный момент ошибка исправлена для всех процессоров на архитектуре AMD Zen 5, включая Granite Ridge, Turin, Strix Point, Krackan Point и Strix Halo, но не Fire Range (Ryzen 9000HX).

В случае обычного пользователя для эксплуатации данной уязвимости потребуется провести атаку иного рода, например, по схеме BYOVD (Bring Your Own Vulnerable Driver) — когда эксплуатируются уязвимости в доверенных и подписанных драйверах на уровне ядра, чтобы выйти на доступ к кольцу 0. Одну из таких уязвимостей ранее обнаружили в античите Genshin Impact — её эксплуатация позволяла получать привилегии на уровне ядра. Поэтому рекомендуется отслеживать обновления BIOS у производителей с указанием использования прошивки AGESA 1.2.0.3C.

Неоднозначный, скандально известный форум 4chan, породивший раннюю интернет-культуру мемов, был взломан. Согласно данным Downdetector, первые сообщения о сбое в работе ресурса появились поздно вечером в понедельник, на текущий момент проблемы с доступом сохраняются, попытки перейти по прямым ссылкам приводят к тайм-ауту. Предположительно, в Сеть утекли персональные данные модераторов и большинства пользователей.

Источник изображения: unsplash.com

Похоже, что хакерам удалось взломать оболочку сервера хостинга 4chan. Затем они использовали утилиту phpmyadmin для доступа к базе данных форума и, по-видимому, слили данные как модераторов, так и большинства зарегистрированных пользователей сайта. Судя по наличию в списке утёкших данных многочисленных адресов электронной почты из доменов .edu и .gov, многие участники форума использовали для регистрации свои реальные данные, что ставит их конфиденциальность под угрозу.

Хакеры выложили в открытый доступ скриншоты панелей статистики, админ-панели и базы данных, сопроводив надписью «I fucking own 4chan». Многие пользователи социальных сетей и Reddit предполагают, что этот взлом может стать концом самого печально известного форума в интернете. Появились сообщения о полном сливе исходного кода движка сайта.

Источник изображения: pexels.com

4chan существует с 1 октября 2003 года. Похоже, что использованные хакерами дыры в безопасности ведут свою историю с тех самых пор и не были исправлены даже после передачи форума его создателем Кристопером Пулом (Christoper Poole) покупателю Хироюки Нисимура (Hiroyuki Nishimura). На восстановление 4chan и устранение уязвимостей могут потребоваться месяцы.

4chan считается отправной точкой популяризации мема об Анонимусе, так как большинство постов по умолчанию подписываются как «Анонимус».

Google закрыла уязвимость в веб-обозревателе Chrome, которая могла раскрывать историю посещённых пользователем сайтов. Проблема существовала с начала 2000-х годов и была связана с тем, как браузеры отображают посещённые ссылки.

Источник изображения: Solen Feyissa / Unsplash

Чтобы отобразить ссылки, которые пользователь посещал ранее (они помечаются фиолетовым цветом), браузер должен отслеживать эти страницы с помощью каскадных таблиц стилей через селектор :visited. Как объяснили в Google, суть ошибки заключалась в том, что информация о том, какие ссылки пользователь уже посещал, сохранялась без разделения конфиденциальности между посещаемыми сайтами. То есть, любой сайт мог определить, была ли ранее нажата определённая ссылка, даже если она отображалась на совершенно другом ресурсе.

Источник изображения: developer.chrome.com

«Вы просматриваете сайт A и кликаете по ссылке на сайт B. Позже вы заходите на условно вредоносный сайт C, который тоже содержит ссылку на сайт B. Он может узнать, что вы уже были на сайте B, просто определив ссылку по цвету», — пояснили в Google.

Источник изображения: developer.chrome.com

В компании назвали это фундаментальной ошибкой дизайна браузера и подчеркнули, что она могла применяться для отслеживания активности пользователей в интернете. Уязвимость затрагивала не только Chrome, но и другие браузеры — в частности, Safari, Opera, Internet Explorer и Firefox, сообщает PCMag.

Впервые на проблему обратил внимание исследователь безопасности Эндрю Кловер (Andrew Clover) ещё в 2002 году. Он визуально продемонстрировал все этапы возможной атаки, опираясь на исследовательскую статью Принстонского университета «Timing Attacks on Web Privacy».

Исправление уже включено в бета-версию обновления Chrome 136. Теперь информация о посещённых ссылках будет храниться отдельно для каждого сайта и не будет передаваться между ресурсами.

Исследователи безопасности Google недавно обнаружили скрытую уязвимость под названием EntrySign, которая позволяет выполнять вредоносный код через неподписанные исправления микрокода на процессорах AMD — от Zen до Zen 4. Сама AMD только что подтвердила, что её новейшие чипы на архитектуре Zen 5 также оказались затронуты этой уязвимостью.

Источник изображения: TechSpot

Проблема заключается в ошибке проверки подписи AMD для обновлений микрокода — низкоуровневых исправлений, которые производители чипов выпускают после поставки процессоров для устранения ошибок или уязвимостей. Обычно операционная система или прошивка загружает только микрокод, подписанный и одобренный AMD. EntrySign позволяет злоумышленникам с доступом к кольцу 0 (уровень ядра) обойти эту защиту на уязвимых чипах.

В прошлом месяце AMD заявила, что EntrySign затронула первые четыре поколения процессоров Zen во всём ассортименте её продукции. Уязвимыми оказались все чипы — от массовых потребительских Ryzen до высокопроизводительных серверных процессоров EPYC. На этой неделе AMD обновила свой бюллетень безопасности, подтвердив, что даже новые чипы Zen 5 подвержены этой уязвимости. В их числе — настольные Ryzen 9000 (Granite Ridge), серверные EPYC 9005 (Turin), мобильные Ryzen AI 300 (Strix Halo, Strix Point и Krackan Point), а также мобильные Ryzen 9000HX (Fire Range) для мощных игровых ноутбуков.

AMD сообщает, что уже предоставила необходимые исправления микрокода поставщикам материнских плат через обновление ComboAM5PI 1.2.0.3c AGESA. Пользователям рекомендуется проверить веб-сайт производителя материнской платы на наличие обновлений BIOS.

Источник изображения: AMD

Ситуация с серверными процессорами оказалась немного сложнее. Хотя AMD уже выпустила исправления для потребительских чипов и серверных моделей EPYC предыдущих поколений, обновления для новых моделей EPYC (Turin), затронутых уязвимостью EntrySign, ожидаются не раньше конца этого месяца.

Отмечается, что злоумышленнику для использования уязвимости EntrySign требуются системные привилегии высокого уровня. В отличие от постоянных вредоносных программ, которые сохраняются в системе даже после перезагрузки, переустановки программ или выхода пользователя, любой вредоносный микрокод, загруженный через EntrySign, стирается при перезагрузке системы. Хотя реальный риск для обычных пользователей относительно невелик, потенциальная угроза для центров обработки данных и облачной инфраструктуры делает эту уязвимость серьёзной проблемой безопасности, которую AMD и её партнёры стараются оперативно устранить.

Компания «Яндекс» сообщила о расширении программы «Охоты за ошибками» и запуске нового направления, связанного с генеративными нейросетями. Теперь исследователи, которым удастся отыскать технические уязвимости в семействах моделей YandexGPT, YandexART и сопутствующей инфраструктуре, могут получить вознаграждение до миллиона рублей.

Источник изображения: yandex.ru/bugbounty

Участникам «Охоты» предстоит искать технические ошибки, которые могут повлиять на результаты работы и процесс обучения нейросетевых моделей: например, привести модель к сбою или изменить её поведение так, чтобы она повлияла на работу других сервисов «Яндекса». В программе участвуют все сервисы и ИИ-продукты «Яндекса», использующие модели семейства YandexGPT и YandexART. В числе таковых: «Алиса», «Поиск с Нейро», «Шедеврум» и другие облачные службы, включая те, где ML-модель используется неявно для ранжирования и поиска.

Размер выплаты зависит от серьёзности ошибки и простоты её применения. К критичным относятся уязвимости, которые позволяют раскрыть сведения о внутренней конфигурации модели, её служебный промт с техническими данными или другую чувствительную информацию. Максимальное вознаграждение за такие ошибки — 1 млн рублей.

Программу поиска уязвимостей «Яндекс» запустил в 2012 году — компания была первой в России. Теперь программа «Охота за ошибками» действует в «Яндексе» постоянно, а принять в ней участие может любой желающий.

Google выпустила экстренный патч для Android, устраняющий две уязвимости нулевого дня, которые, по данным компании, уже могут использоваться хакерами в реальных атаках. Атаки возможны благодаря повышению привилегий в устройствах и не требуют от пользователей каких-либо действий.

Источник изображения: Mateusz Tworuszka / Unsplash

Одна из уязвимостей, получившая идентификатор CVE-2024-53197, была выявлена экспертами Amnesty International совместно с Бенуа Севенсом (Benoît Sevens), сотрудником группы безопасности и анализа угроз Google. Эта группа занимается отслеживанием кибератак, которые исходят от государственных структур. Например, в феврале Amnesty сообщила, что компания Cellebrite, разрабатывающая инструменты для правоохранительных органов, использовала цепочку из трёх уязвимостей нулевого дня для взлома Android-устройств.

Как пишет TechCrunch, одна из этих уязвимостей применялась против сербского студента-активиста местными властями, использовавшими технологии Cellebrite. Именно эта уязвимость была устранена в патче, выпущенном на этой неделе. Однако детали второго исправленного бага — CVE-2024-53150 — остаются неясными. Известно лишь, что его обнаружение также приписывается Бенуа Севенсу, а сама проблема затрагивает ядро операционной системы.

В своём официальном заявлении компания Google отметила, что «наиболее серьёзной проблемой является критическая уязвимость в компоненте System, которая может привести к удалённому повышению привилегий без необходимости дополнительных прав доступа». Также подчёркивается, что эксплуатация уязвимости не требует никаких действий со стороны пользователя, и он может даже не догадываться о происходящем.

В Google сообщили, что исходные коды для устранения двух уязвимостей будут опубликованы в течение 48 часов после выпуска бюллетеня безопасности, а также подчеркнули, что их партнёры — производители устройств на базе Android — традиционно получают информацию о подобных проблемах как минимум за месяц до публичного релиза обновлений.

Также отмечается, что так как операционная система Android основана на открытом исходном коде, каждому производителю смартфонов теперь придётся самостоятельно распространять обновления среди своих пользователей.

Эксперты обнаружили в архиваторе WinRAR уязвимость, с помощью которой злоумышленники могли обходить Mark of the Web (MotW), механизм защиты Windows, и развёртывать на компьютерах жертв вредоносное ПО.

Источник изображения: Kevin Ku / unsplash.com

Уязвимость обнаружил японский исследователь Симаминэ Тайхэй (Shimamine Taihei) из Mitsui Bussan Secure Directions — ей присвоен номер CVE-2025-31334 и уровень угрозы 6,8 из 10 — средняя. MotW — средство безопасности, благодаря которому при загрузке исполняемого файла из интернета выводится предупреждение. Встроенный в Windows механизм оповещает пользователей, что скачанные из интернета файлы могут быть опасными, но существовал способ обойти это предупреждение, если такой файл представлен в архивном формате.

«Если из оболочки WinRAR открывалась указывающая на исполняемый файл символическая ссылка, данные исполняемого файла Mark of the Web игнорировались», — говорится в пояснении на сайте архиватора. Символическая ссылка (Symbolic Link или Symlink) — это ярлык или псевдоним файла или папки. Символическая ссылка — не копия файла, а лишь указание на него. Хакер мог создать символическую ссылку, указывающую на исполняемый файл с MotW, и при её открытии предупреждение MotW не выводилось. Уязвимость была обнаружена во всех старых версиях WinRAR и устранена в версии 7.11, которая сейчас доступна для загрузки.

Разработчики компании Apple выпустили целую партию обновлений операционных систем, в том числе для платформы предыдущих поколений. Закрыты уязвимости, активно эксплуатируемые злоумышленниками, но первыми ошибки были исправлены в актуальных ОС.

Самая опасная уязвимость имеет номер CVE-2025-24200 и представляет собой ошибку в USB Restricted Mode — эта представленная в 2018 году функция безопасности блокирует порты Lightning или USB Type-C, если само устройство было заблокировано более часа назад. Уязвимость позволяла злоумышленникам с физическим доступом к заблокированному устройству отключать USB Restricted Mode, чтобы впоследствии раскрывать данные пользователя. В феврале Apple закрыла уязвимость в iOS 18.3.1, iPadOS 18.3.1 и iPadOS 17.7.5, предупредив, что она эксплуатировалась в «чрезвычайно сложной атаке против конкретных целевых лиц». Теперь исправления вышли для iOS 16.7.11 и 15.8.4, а также iPadOS 16.7.11 и 15.8.4.

Ещё одна эксплуатируемая уязвимость CVE-2025-24201 позволяла вредоносному веб-контенту совершать операции за пределами песочницы браузерного движка Safari WebKit — теперь её закрыли в iOS 16.7.11 и 15.8.4 и соответствующих версиях iPadOS. С очередным обновлением вышедшей в 2019 году macOS Ventura устранена связанная с повышением привилегий уязвимость CoreMedia — её закрыли с обновлением macOS Ventura 13.7.5. Более 90 уязвимостей закрыты с выходом macOS Sonoma 14.7.5; более 120 ошибок в компонентах AirDrop, App Store, Dock и в ядре исправлены в macOS Sequoia 15.4.

Для актуальных iOS и iPadOS 18.4 устранены 60 уязвимостей, ни одна из которых не эксплуатировалась хакерами; 35 исправлений включили в обновление visionOS 2.4. В браузере Safari 18.4 закрыты 14 уязвимостей, ни одна из которых не эксплуатировалась, причём семь были связаны с WebKit. Вышли несколько патчей для среды разработки Xcode 16.3; более 40 уязвимостей закрыли в Apple tvOS 18.4.

Mozilla выпустила обновление Firefox, в котором закрыта некая уязвимость, предположительно аналогичная ранее обнаруженной в Google Chrome — она позволяла обходить защиту «песочницы» в браузере.

Источник изображения: mozilla.org

На этой неделе Google выпустила экстренное обновление Chrome для Windows, чтобы закрыть уязвимость нулевого дня, эксплуатируемую злоумышленниками. Ошибку обнаружили специалисты «Лаборатории Касперского» — она эксплуатировалась в рамках фишинговой кампании «Форумный тролль», организаторы которой рассылали потенциальным жертвам письма якобы с приглашениями на мероприятие политического характера. Людям, которые пытались перейти по ссылке из письма, не нужно было совершать дополнительных действий — эксплойт пробивался через песочницу Chrome, которая изолирует вкладки и плагины браузера друг от друга. Подробности, касающиеся уязвимости за номером CVE-2025-2783 не разглашаются, но известно, что она могла использоваться совместно с другим эксплойтом, позволяющим запускать удалённое выполнение кода.

Google поблагодарила экспертов «Лаборатории Касперского» за выявление проблемы и обновила Chrome, пояснив что ошибка была вызвана «некорректной обработкой дескрипторов в неуказанных обстоятельствах в Mojo для Windows». Mojo — это фреймворк для межпроцессного взаимодействия в Chromium. Разработчики Mozilla изучили механизмы работы песочницы в собственном браузере Firefox и выпустили для него обновление, которое закрывает схожую уязвимость за номером CVE-2025-2857 — она также позволяла обходить защиту песочницы в программе. «Злоумышленники могли нарушить работу родительского процесса, чтобы утечка дескрипторов в непривилегированные дочерние процессы помогла выйти из песочницы», — рассказали в Mozilla.

Учитывая, что на движке Chromium работает множество браузеров, в том числе Edge, Opera и Brave, в ближайшее время следует ожидать и их экстренных обновлений, если этого ещё не случилось. Разработчики основанного на Firefox браузера Tor накануне также выпустили срочное обновление версии для Windows.

На протяжении последних восьми лет злоумышленники эксплуатируют уязвимость в Windows, связанную с обработкой ярлыков .LNK, для скрытого распространения вредоносного ПО. Этот метод активно применяли различные хакерские группировки для атак на государственные предприятия и организации финансового сектора. Несмотря на отчёты специалистов, Microsoft отказалась выпускать экстренные патчи для своих систем.

Источник изображения: Tadas Sar / Unsplash

Исследователи из Trend Micro обнаружили в Windows уязвимость, позволяющую скрытно исполнять вредоносный код при открытии ярлыков .LNK. По их данным, этот метод использовался как минимум с 2017 года. В сентябре 2023 года специалисты Zero Day Initiative (ZDI) направили в Microsoft официальный отчёт с описанием проблемы, однако корпорация не выпустила исправление, объяснив это тем, что рассматривает уязвимость не как угрозу безопасности, а как особенность пользовательского интерфейса. В Microsoft отметили, что уязвимость не соответствует критериям экстренного исправления, однако её могут устранить в одном из будущих обновлений Windows.

По данным Trend Micro, на момент выявления уязвимости в обороте находилось более 1 000 модифицированных LNK-файлов, но исследователи полагают, что реальное количество атак могло быть значительно выше Файлы .LNK в Windows представляют собой ярлыки, указывающие на исполняемые файлы или другие ресурсы. В стандартных условиях пользователь может увидеть путь к файлу и передаваемые командной строке аргументы, однако злоумышленники нашли способ замаскировать вредоносные команды, используя чрезмерное количество пробелов.

Подобные LNK-файлы попадают на устройства жертв через подозрительные загрузки или вложения в электронных письмах. Как только пользователь открывает такой ярлык, Windows незаметно исполняет скрытые команды, что приводит к автоматической загрузке и попытке запуска вредоносного кода. Ключевая особенность атаки заключается в маскировке команд: злоумышленники заполняют командную строку мегабайтами пробелов, из-за чего вредоносные инструкции оказываются за пределами видимой части интерфейса и остаются незаметными для пользователя.

По данным Trend Micro, около 70 % атак с использованием этой уязвимости осуществлялись хакерскими группировками, специализирующимися на кибершпионаже и краже данных. Ещё 20 % атак были связаны с финансовыми преступлениями. В распределении кибератак ведущую роль играет Северная Корея, на которую приходится 46 % атак, тогда как на Россию, Китай и Иран приходится по 18 % активности.

Основными целями атакующих стали государственные учреждения, за ними следуют частный сектор, финансовые организации, аналитические центры, телекоммуникационные компании, военные и энергетические структуры. Это подтверждает, что уязвимость .LNK активно используется в кибервойне и шпионской деятельности, а также в схемах, направленных на финансовую выгоду.

По мнению экспертов, одной из возможных причин отказа Microsoft от выпуска исправления является сложность его технической реализации. Устранение уязвимости требует существенного изменения механизма обработки .LNK, что выходит за рамки стандартного обновления безопасности. Такая ситуация оставляет миллионы пользователей Windows под угрозой атак, в которых ярлыки .LNK могут использоваться для скрытого распространения вредоносов. Microsoft, в свою очередь, советует пользователям проявлять осторожность при скачивании файлов из неизвестных источников и обращать внимание на системные предупреждения о потенциально опасных объектах.