На конференции DEF CON 33 представлен метод атаки на браузерные дополнения, подставляющие свои элементы интерфейса в просматриваемую страницу. Применение атаки к дополнениям с менеджерами паролей может привести к утечке хранимой в менеджерах паролей информации, такой как параметры аутентификации, параметры кредитных карт, персональные данные и одноразовые пароли для двухфакторной аутентификации. Проблема затрагивает все протестированные менеджеры паролей, включая 1Password, Bitwarden, LastPass, KeePassXC-Browser, NordPass, ProtonPass и Keeper.
По информации команды Nextron Systems, в течение года вредоносный модуль под названием Plague оставался незаметным для средств защиты Linux-систем, несмотря на его активное распространение и глубокую интеграцию в критическую часть системы — стек аутентификации. Обнаружить его удалось лишь благодаря анализу артефактов, загруженных на VirusTotal в конце июля 2024 года. Ни один из них до сих пор не распознан антивирусами как угроза, что указывает на крайне высокий уровень маскировки и осторожности разработчиков.
Команда разработчиков curl выпустила обновление для устранения уязвимости CVE-2025-5025, оцененной как средней (Medium Severity).
Уязвимость проявляется при выполнении трех условий:
1. Используется TLS-библиотека wolfSSL 2. Соединение устанавливается по протоколу HTTP/3 (QUIC). 3. Включена функция безопасности certificate pinning (пиннинг публичного ключа сертификата сервера).
Проверка пиннинга не выполнялась. Это означает, что злоумышленник может провести атаку 'Атака посредника' (MITM-атака) и представить любой действительный сертификат, curl примет соединение, несмотря на несоответствие ожидаемого ключа. Это позволяет злоумышленнику перехватывать и модифицировать зашифрованный трафик.
В модуле ksmbd, который обеспечивает встроенную в ядро Linux реализацию SMB-сервера, обнаружена опасная уязвимость (CVE-2025-37899). Она позволяет злоумышленнику выполнить произвольный код на уровне ядра, отправив специально сформированные SMB-пакеты. Интересно, что проблема была выявлена не вручную, а с помощью ИИ-модели OpenAI o3 в ходе автоматизированного аудита безопасности.
Поскольку код модуля ksmbd слишком велик для полного анализа в рамках одного запроса, проверка проводилась поэтапно. ИИ исследовал реализацию отдельных SMB-команд, используя типовые запросы, и в итоге обнаружил use-after-free в обработчике команды logoff.
Основатель и главный разработчик проекта curl Дэниэл Стенберг (Daniel Stenberg)
обратил внимание на проблему массовой отправки сообщений об уязвимостях, созданных LLM через платформу HackerOne.
Подобные сообщения перегружают разработчиков, так как для их проверки необходимо
время, которое несравнимо с тем временем, которое нужно для создания подобных отчётов при помощи LLM.
В качестве примера такого сообщения он опубликовал один из таких отчётов - #3125832.
Первоначальный патч в нём не подходит ни к одной версии утилиты, для которой он сделан.
На уточняющие вопросы от разработчиков его автор отвечал на не заданные вопросы (например, что такое циклическая зависимость),
приводил примеры несуществующих функций в утилите и
давал инструкции, как использовать git для применения патча.
В ответ на увеличение количества таких сообщений Дэниэл Стенберг предупредил,
что теперь авторам необходимо будет отвечать на вопрос «использовался ли AI при его создании»
и быть готовыми к дополнительным вопросам, чтобы доказать, что автор действительно проверил результат.
Так же любой автор, заподозренный в отправке сообщений, которые можно классифицировать как «AI slop»
(низкокачественный контент, сгенерированный LLM)
будет немедленно забанен.
Дэниэл Стенберг отмечает, что на данный момент у них нет ни одного примера полезного
сообщения об уязвимости, созданного при помощи AI.
Ранее Дэниэл Стенберг уже писал об этой проблеме в своём блоге.
Так же о похожей ситуации сообщал
Сэт Ларсон (Seth Larson), разработчик из security team в Python Software Foundation.
6 марта 2025 года проект Tails объявил о выпуске новой версии своего ориентированного на конфиденциальность дистрибутива Linux — Tails 6.13.
В новом релизе улучшено обнаружение проблем с Wi-Fi оборудованием. Теперь, если Tails не обнаруживает беспроводное оборудование, пользователи увидят четкое предупреждение: «Wi-Fi оборудование не обнаружено». Это нововведение поможет пользователям быстрее выявлять и устранять проблемы с совместимостью оборудования.
Проект Tor объявил о выпуске новой версии своего клиента Arti 1.4.0, разработанного на языке Rust. Этот выпуск включает множество новых функций и улучшений, направленных на повышение производительности и удобства использования.
Arti — это клиент Tor, переписанный на Rust. Как и оригинальный клиент, написанный на C, он может использоваться как отдельно в качестве SOCKS5-прокси, так и совместно с Tor Browser.
6 февраля 2025 года команда разработчиков Tails объявила о выпуске новой версии своего дистрибутива, ориентированного на конфиденциальность, Tails 6.12. В этой версии были исправлены критические уязвимости безопасности и добавлены новые функциональные обновления.
Напомним, что дистрибутив основан на Debian GNU/Linux, предназначен для установку на флешку, включает в себя инструменты для обеспечения цифровой безопасности и ориентирован на защиту от слежки и цензуры, обеспечение приватности и анонимности.
Исследователи из команды Google Security Team обнаружили уязвимость в процессорах AMD Zen 1-4, которая позволяет злоумышленникам с привилегиями локального администратора загружать вредоносные микрокоды. Эта уязвимость связана с использованием небезопасной хеш-функции при проверке подписи микрокодов.
Согласно сообщению Google, уязвимость позволяет злоумышленникам компрометировать конфиденциальные вычислительные нагрузки, защищенные технологией AMD Secure Encrypted Virtualization (SEV-SNP), а также нарушить динамическое измерение корневого доверия (Dynamic Root of Trust Measurement).
Злоумышленники смогли выполнить код с правами обработчика GitHub Actions в репозитории Python-библиотеки Ultralytics, применяемой для решения задач компьютерного зрения, таких как определение объектов на изображениях и сегментирование изображений. После получения доступа к репозиторию атакующие опубликовали в каталоге PyPI несколько новых релизов Ultralytics, включающих вредоносные изменения для майнинга криптовалют. За последний месяц библиотека Ultralytics была загружена из каталога PyPI более 6.4 млн раз.
В qBittorrent была закрыта 14-летняя уязвимость, связанная с некорректной проверкой SSL/TLS-сертификатов. Обновление до версии 5.0.1 устранило эту уязвтмость, которая существовала с 2010 года.
В течение этого времени программа принимала любые сертификаты, включая поддельные, что делало её уязвимой к атаке типа «человек посередине» (MitM). Это позволяло злоумышленникам незаметно изменять сетевой трафик, потенциально подвергая пользователей риску скачивания и выполнения вредоносного кода при обновлении продукта по ссылке из уведомления о выходе новой версии, а так же при загрузке бинарников Python на Windows. Уязвимость была не только теоретической, но и реализуемой на практике.
Так же отсутствие валидации сертификатов позволяло MitM подменять содержимое RSS и базы данных MaxMind Geo IP.
Исследователи из Gen Threat Labs выявили новый сложный руткит Snapekit, который нацелен на систему Arch Linux версии 6.10.2-arch1-1 на архитектуре x86_64. Snapekit позволяет злоумышленникам получать несанкционированный доступ к системе и управлять ею, при этом оставаясь незамеченными.
В сентябре 2024 года была выявлена критическая уязвимость CVE-2024-8767 (оценка 9.9 по CVSS), затрагивающая плагины Acronis Backup на платформах cPanel, WHM, Plesk и DirectAdmin, работающих на Linux. Проблема заключается в избыточных привилегиях, что позволяет злоумышленникам удалённо раскрывать и изменять конфиденциальные данные, а также выполнять несанкционированные операции. Уязвимость поражает сборки плагинов до 619 (cPanel), 555 (Plesk) и 147 (DirectAdmin). Важность обновления нельзя недооценивать: пользователи, не установившие патчи, рискуют полной компрометацией системы.
Эксперты по безопасности настоятельно рекомендуют обновить системы как можно скорее, особенно если плагины Acronis Backup используются для защиты критически важных данных.
