Исследователи заработали больше миллиона долларов и раскрыли 73 уязвимости на Pwn2Own Ireland
Завершился хакерский конкурс Pwn2Own Ireland 2025. На этот раз участники заработали 1,02 млн долларов США, продемонстрировав 73 эксплоита для уязвимостей нулевого дня в популярных устройствах и сервисах. Исследователи атаковали смартфоны, NAS, роутеры, системы умного дома и даже очки Ray-Ban Smart Glasses. Однако заявленный взлом WhatsApp, который должен был принести специалистам миллион долларов, не состоялся.
Дата: 27 Октября 2025 17:30:30Фишеры пугают пользователей LastPass фальшивыми свидетельствами о смерти
Разработчики менеджера паролей LastPass предупредили пользователей о масштабной фишинговой кампании, начавшейся в середине октября 2025 года. Злоумышленники рассылают письма с поддельными запросами на экстренный доступ к хранилищу паролей, которые якобы связаны со смертью пользователей.
Дата: 27 Октября 2025 15:30:46HTB Artificial. Эксплуатируем баг в TensorFlow и атакуем Backrest
Для подписчиков
Сегодня я продемонстрирую эксплуатацию уязвимости в популярной библиотеке TensorFlow. Это позволит нам исполнять команды на сервере, чем мы и воспользуемся, чтобы получить учетные данные, а затем повысить привилегии через оболочку Backrest для restic backup.
В BIND патчат серьезные уязвимости, связанные с отравлением кеша
Специалисты некоммерческой организации, занимающейся поддержкой инфраструктуры интернета, Internet Systems Consortium, выпустили обновления для DNS-сервера BIND 9, устраняющие сразу три серьезные уязвимости. Две из них позволяют атакующим отравлять кеш, а третья может привести к отказу в обслуживании.
Дата: 27 Октября 2025 12:30:03ChatGPT Atlas и Perplexity Comet уязвимы перед спуфингом боковой панели
Специалисты SquareX обнаружили уязвимость в агентных ИИ-браузерах ChatGPT Atlas компании OpenAI и Comet компании Perplexity. Атака AI Sidebar Spoofing позволяет злоумышленникам подделывать встроенную боковую панель с ИИ-ассистентом и выдавать пользователям вредоносные инструкции.
Дата: 27 Октября 2025 10:30:29Microsoft выпустила экстренный патч для Windows Server Update Service
Разработчики Microsoft выпустили внеплановые патчи для критической уязвимости в Windows Server Update Service (WSUS), для которой уже появился публичный proof-of-concept эксплоит. Проблема получила идентификатор CVE-2025-59287 и позволяет удаленно выполнить код на уязвимых серверах.
Дата: 27 Октября 2025 08:30:49Роман «Хакеры.RU» в продаже. Бумага или электронная версия — выбор за тобой
Роман Валентина Холмогорова «Хакеры.RU» — это история о том, как хакерство становится способом найти себя. Книга доступна в двух форматах: классическое печатное издание с черно-белыми иллюстрациями и цифровая версия.
Дата: 24 Октября 2025 18:30:40В Oracle VirtualBox найдена цепочка уязвимостей, ведущая к побегу из виртуальной машины
Специалисты BI.ZONE выявили две уязвимости (CVE-2025-62592 и CVE-2025-61760) в Oracle VirtualBox. В сочетании эти проблемы позволяли выполнить побег из виртуальной машины VirtualBox на хостовую систему macOS на базе ARM.
Дата: 24 Октября 2025 17:00:53С YouTube удалили 3000 видеороликов, распространявших вредоносное ПО
Специалисты Google удалили с YouTube более 3000 видео, которые распространяли инфостилеры под видом взломанного софта и читов для игр. Исследователи Check Point дали этой кампании имя YouTube Ghost Network и сообщают, что она была активна с 2021 года, резко активизировавшись в 2025 году, когда число вредоносных видео утроилось.
Дата: 24 Октября 2025 15:30:16Франкенсерт. Как стать гендиром, имея мобильное приложение и ОTP уборщицы
Для подписчиков
Уязвимость, о которой пойдет речь, была использована при проведении внешнего тестирования в рамках редтиминга. Атака строилась на том, что корпоративное мобильное приложение позволяло выпускать сертификаты, которые были валидными не только на внешнем периметре организации, но и в корпоративной сети.