Уязвимость в Android 14: выполнение кода через Bluetooth

Команда проекта GrapheneOS , которая работает над безопасной версией Android Open Source Project (AOSP), обнаружила проблему в Bluetooth-стеке Android 14, приводящую к удаленному выполнению кода. Уязвимость использования памяти после освобождения (Use-After-Free, UAF) возникает при передаче аудио через Bluetooth LE. Недостаток был обнаружен с помощью функции hardened_malloc, которая включает дополнительные меры…

Больше

GhostRace: почти ни один процессор не защищен от атак на спекулятивное выполнение

Обнаружена новая угроза с кодовым названием GhostRace (CVE-2024-2193), зафиксированная исследовательскими группами из Амстердамского свободного университета и европейского отделения IBM Research. Уязвимость затрагивает базовые инструменты защиты операционных систем и может привести к серьезным последствиям, включая утечку данных и нарушение работы важных механизмов. GhostRace использует особенности работы современных процессоров, а именно их…

Больше

CVE-2024-21762: 150 000 устройств FortiOS по всему миру могут быть захвачены хакерами

Критическая уязвимость в системах безопасности Fortinet затронула около 150 000 устройств по всему миру. Уязвимость CVE-2024-21762 (оценка CVSS: 9.8) характеризуется как проблема записи за пределами допустимого диапазона в FortiOS (Out-of-Bounds), позволяющая неаутентифицированному злоумышленнику осуществлять удалённое выполнение кода (Remote Code Execution, RCE) с помощью специально сформированных запросов. Агентство по кибербезопасности CISA…

Больше

После массовой атаки в 3D-принтерах Anycubic исправили 0-day уязвимость

Разработчики компании AnyCubic выпустили новую прошивку для принтеров Kobra 2, исправив уязвимость нулевого дня. В прошлом месяце с помощью этого бага были взломаны устройства по всему миру, и неизвестный хакер предупреждал пользователей, что 3D-принтеры уязвимы для атак. Напомним, что в конце февраля владельцы 3D-принтеров Anycubic массово сообщили, что кто-то взломал…

Больше

Не стоит доверять шрифтам: Canva сообщила о трёх уязвимостях, ведущих к неминуемому взлому

В новом исследовании австралийской компании Canva, специализирующейся на графическом дизайне, был выявлен ряд уязвимостей безопасности, связанных со шрифтами. Эксперты обнаружили три уязвимости в «необычных местах», подчёркивая, что шрифты представляют собой сложную и широко распространённую часть обработки графики, которая ранее могла оставаться без должного внимания в контексте безопасности. Первая уязвимость, CVE-2023-45139,…

Больше

Кибербандиты похищают SAML-токены из Cisco Secure Client

Компания Cisco выпустила обновления для устранения критической уязвимости в своём программном обеспечении Secure Client, которая позволяла злоумышленникам подключаться к VPN-сессиям целевых пользователей. Уязвимость, получившая обозначение CVE-2024-20337 с оценкой серьёзности 8.2 по шкале CVSS, позволяет неаутентифицированному удалённому злоумышленнику проводить атаки типа «CRLF Injection», благодаря чему хакеры могут заставить своих жертв переходить…

Больше

VMWare исправляет критические уязвимости побега из песочницы в ESXi, Workstation и Fusion

Компания VMware призывает клиентов как можно скорее устранить критические уязвимости, позволяющие обойти защиту и осуществить побег из песочницы во всех версиях VMware ESXi, Workstation, Fusion и Cloud Foundation. Проблемы затрагивают все версии и настолько серьезны, что патчи выпущены даже продуктов, поддержка которых уже была прекращена. Дело в том, что свежие…

Больше

iPhone снова под 0day-прицелом: Apple спешно закрывает дыры в iOS

Apple выпустила экстренные обновления безопасности для устранения двух zero-day уязвимостей в iOS, которые уже были использованы в реальных атаках на iPhone. Об этом компания сообщила пятого марта в отдельной рекомендации по безопасности. Уязвимости были обнаружены в ядре iOS ( CVE-2024-23225 ) и RTKit ( CVE-2024-23296 ), рейтинг CVSS для них…

Больше

CVE-2023-29360: госсекреты США на волоске от масштабной компрометации

Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) выдало предписание агентствам Федеральной исполнительной ветви гражданского управления США (FCEB) усилить защиту своих систем Windows от критической уязвимости в службе Microsoft Streaming, которая прямо сейчас активно используется в хакерских атаках. Уязвимость, получившая обозначение CVE-2023-29360 и рейтинг опасности 8.4 балла по шкале CVSS,…

Больше

ИИ-цензура взломана: как ASCII-арт позволяет ИИ генерировать инструкции по созданию бомб и фальшивых денег

Недавнее исследование , проведенное учеными из Вашингтонского и Чикагского университетов, продемонстрировало уязвимость современных языковых моделей искусственного интеллекта к обходу встроенной цензуры с помощью ASCII-арта. Исследователи обнаружили, что если зашифровать запрещенные слова и выражения в виде изображений из символов ASCII, то нейросети будут интерпретировать их как безобидные и ответят на запросы,…

Больше