Критические уязвимости в React и Next.js приводят к удаленному выполнению кода без аутентификации
Fri, 05 Dec 2025 08:30:55 +0000
В React обнаружили серьезную уязвимость CVE-2025-55182, получившую 10 баллов из 10 возможных по шкале CVSS. Она позволяет удаленно выполнить код на сервере без аутентификации. Проблема получила имя React2Shell и вызвала настоящую панику в индустрии, ведь под угрозой находятся миллионы ресурсов.
Fri, 05 Dec 2025 08:30:55 +0000
В React обнаружили серьезную уязвимость CVE-2025-55182, получившую 10 баллов из 10 возможных по шкале CVSS. Она позволяет удаленно выполнить код на сервере без аутентификации. Проблема получила имя React2Shell и вызвала настоящую панику в индустрии, ведь под угрозой находятся миллионы ресурсов.
Роскомнадзор заблокировал Snapchat на территории России
Thu, 04 Dec 2025 17:30:09 +0000
В Роскомнадзоре подтвердили, что американский сервис для обмена фото и видео Snapchat заблокирован в РФ еще с октября 2025 года. По словам представителей регулятора, сервис используется для вербовки преступников для совершения террористических действий и мошенничества.
Thu, 04 Dec 2025 17:30:09 +0000
В Роскомнадзоре подтвердили, что американский сервис для обмена фото и видео Snapchat заблокирован в РФ еще с октября 2025 года. По словам представителей регулятора, сервис используется для вербовки преступников для совершения террористических действий и мошенничества.
Роскомнадзор сообщил, что заблокировал FaceTime в России
Thu, 04 Dec 2025 16:30:19 +0000
Представители Роскомнадзора сообщили СМИ, что работа сервиса видеозвонков FaceTime ограничена в России. В ведомстве говорят, что причиной для блокировки стало использование FaceTime для организации терактов, вербовки исполнителей и мошенничества.
Thu, 04 Dec 2025 16:30:19 +0000
Представители Роскомнадзора сообщили СМИ, что работа сервиса видеозвонков FaceTime ограничена в России. В ведомстве говорят, что причиной для блокировки стало использование FaceTime для организации терактов, вербовки исполнителей и мошенничества.
Фальшивые приложения YouTube и TikTok распространяют Android-троян
Thu, 04 Dec 2025 15:30:59 +0000
Специалисты F6 предупреждают, что злоумышленники маскируют банковский троян для Android под расширенные и «18+» версии популярных приложений, включая YouTube и TikTok. С начала октября 2025 года аналитики обнаружили более 30 доменов, которые использовались для распространения этой малвари.
Thu, 04 Dec 2025 15:30:59 +0000
Специалисты F6 предупреждают, что злоумышленники маскируют банковский троян для Android под расширенные и «18+» версии популярных приложений, включая YouTube и TikTok. С начала октября 2025 года аналитики обнаружили более 30 доменов, которые использовались для распространения этой малвари.
Испарение SSD. Разоблачаем миф о потере данных при долгом хранении
Thu, 04 Dec 2025 13:30:09 +0000
Для подписчиков
Недавно сразу несколько сайтов «откопали стюардессу», выпустив статьи о том, что SSD теряют данные, если долго пролежат без питания. В этих текстах выдумки, городские легенды и просто недопонимание настолько тесно переплетены с реальностью, что неспециалисту разобраться становится тяжело. А вот специалистов такие тексты только бесят.
Thu, 04 Dec 2025 13:30:09 +0000
Для подписчиков
Недавно сразу несколько сайтов «откопали стюардессу», выпустив статьи о том, что SSD теряют данные, если долго пролежат без питания. В этих текстах выдумки, городские легенды и просто недопонимание настолько тесно переплетены с реальностью, что неспециалисту разобраться становится тяжело. А вот специалистов такие тексты только бесят.
В Южной Корее задержаны взломщики 120 000 IP-камер
Thu, 04 Dec 2025 12:30:46 +0000
Полиция Южной Кореи сообщила о задержании четырех человек, которые — предположительно независимо друг от друга — скомпрометировали более 120 000 IP-камер. По данным следствия, как минимум двое из них делали это ради кражи видео из таких мест, как гинекологические кабинеты. Отснятый материал они монтировали в порноролики и продавали в интернете.
Thu, 04 Dec 2025 12:30:46 +0000
Полиция Южной Кореи сообщила о задержании четырех человек, которые — предположительно независимо друг от друга — скомпрометировали более 120 000 IP-камер. По данным следствия, как минимум двое из них делали это ради кражи видео из таких мест, как гинекологические кабинеты. Отснятый материал они монтировали в порноролики и продавали в интернете.
Новый Outlook не открывает некоторые вложения в формате Excel
Thu, 04 Dec 2025 10:30:58 +0000
Разработчики Microsoft сообщили, что работают над исправлением проблемы, которая мешает открывать файлы Excel, прикрепленные к письмам в новом клиенте Outlook. Проблема возникла 23 ноября 2025 года и затронула некоторых пользователей Exchange Online.
Thu, 04 Dec 2025 10:30:58 +0000
Разработчики Microsoft сообщили, что работают над исправлением проблемы, которая мешает открывать файлы Excel, прикрепленные к письмам в новом клиенте Outlook. Проблема возникла 23 ноября 2025 года и затронула некоторых пользователей Exchange Online.
Червь GlassWorm снова активен и обнаружен в 24 пакетах
Thu, 04 Dec 2025 08:30:48 +0000
Малварь GlassWorm вновь проникла в репозитории расширений для Visual Studio Code. После двух предыдущих атак злоумышленники запустили третью волну, загрузив 24 новых вредоносных пакета в OpenVSX и Microsoft Visual Studio Marketplace.
Thu, 04 Dec 2025 08:30:48 +0000
Малварь GlassWorm вновь проникла в репозитории расширений для Visual Studio Code. После двух предыдущих атак злоумышленники запустили третью волну, загрузив 24 новых вредоносных пакета в OpenVSX и Microsoft Visual Studio Marketplace.
В Android исправили две 0-day-уязвимости, находившиеся под атаками
Wed, 03 Dec 2025 17:30:57 +0000
Разработчики Google выпустили декабрьское обновление для операционной системы Android, в общей сложности устранив 107 уязвимостей. В их числе были две проблемы нулевого дня, которые уже активно эксплуатировались злоумышленниками в целевых атаках.
Wed, 03 Dec 2025 17:30:57 +0000
Разработчики Google выпустили декабрьское обновление для операционной системы Android, в общей сложности устранив 107 уязвимостей. В их числе были две проблемы нулевого дня, которые уже активно эксплуатировались злоумышленниками в целевых атаках.
Роскомнадзор ограничил доступ к игровой платформе Roblox
Wed, 03 Dec 2025 15:40:19 +0000
Представители Роскомнадзора сообщили, что доступ к игровой платформе Roblox заблокирован на территории России. Решение было принято из-за массового распространения материалов с пропагандой и оправданием экстремистской и террористической деятельности.
Wed, 03 Dec 2025 15:40:19 +0000
Представители Роскомнадзора сообщили, что доступ к игровой платформе Roblox заблокирован на территории России. Решение было принято из-за массового распространения материалов с пропагандой и оправданием экстремистской и террористической деятельности.
Криптографы отменили результаты выборов руководства, так как потеряли ключ дешифрования
Tue, 25 Nov 2025 08:30:59 +0000
Международная ассоциация криптологических исследований (IACR) — одна из ведущих мировых организаций в области криптографии — отменила результаты ежегодных выборов руководства. Дело в том, что был потерян ключ, необходимый для расшифровки результатов голосования.
Tue, 25 Nov 2025 08:30:59 +0000
Международная ассоциация криптологических исследований (IACR) — одна из ведущих мировых организаций в области криптографии — отменила результаты ежегодных выборов руководства. Дело в том, что был потерян ключ, необходимый для расшифровки результатов голосования.
«Чёрная пятница» в «Пассворке»: скидка 50% на корпоративный менеджер паролей
Tue, 25 Nov 2025 07:30:39 +0000
С 24 ноября по 5 декабря 2025 года компания «Пассворк» проводит акцию в честь «чёрной пятницы» — все версии коробочного решения для управления паролями будут доступны со скидкой 50%.
Tue, 25 Nov 2025 07:30:39 +0000
С 24 ноября по 5 декабря 2025 года компания «Пассворк» проводит акцию в честь «чёрной пятницы» — все версии коробочного решения для управления паролями будут доступны со скидкой 50%.
Аналитики SquareX конфликтуют с Perplexity из-за предполагаемой уязвимости в браузере Comet
Mon, 24 Nov 2025 17:30:15 +0000
Исследователи компании SquareX, специализирующейся на безопасности браузеров, опубликовали отчет о критической уязвимости в ИИ-браузере Comet компании Perplexity. Проблема связана со скрытым MCP API, который позволяет выполнять команды на устройстве без разрешения пользователя. Разработчики выпустили патч, но при этом назвали исследование «фейковым».
Mon, 24 Nov 2025 17:30:15 +0000
Исследователи компании SquareX, специализирующейся на безопасности браузеров, опубликовали отчет о критической уязвимости в ИИ-браузере Comet компании Perplexity. Проблема связана со скрытым MCP API, который позволяет выполнять команды на устройстве без разрешения пользователя. Разработчики выпустили патч, но при этом назвали исследование «фейковым».
Nvidia: октябрьские обновления Windows вызывают проблемы в играх
Mon, 24 Nov 2025 15:30:30 +0000
Компания Nvidia подтвердила, что октябрьские обновления безопасности Windows 11 вызывают проблемы с производительностью в играх в системах под управлением Windows 11 24H2 и 25H2. Для устранения проблемы разработчики выпустили бета-версию GeForce Hotfix Display Driver версии 581.94.
Mon, 24 Nov 2025 15:30:30 +0000
Компания Nvidia подтвердила, что октябрьские обновления безопасности Windows 11 вызывают проблемы с производительностью в играх в системах под управлением Windows 11 24H2 и 25H2. Для устранения проблемы разработчики выпустили бета-версию GeForce Hotfix Display Driver версии 581.94.
HTB Mirage. Захватываем домен Active Directory через ESC10 ADCS
Mon, 24 Nov 2025 13:30:43 +0000
Для подписчиков
Сегодня я покажу на примере, как применять технику ESC10 для повышения привилегий в домене Active Directory. Начнем с того, что соберем информацию с сервера NFS и создадим свой сервер NATS для перехвата учеток. В логах NATS найдем учетную запись домена. После эксплуатации разрешений ACL скомпрометируем учетную запись gMSA.
Mon, 24 Nov 2025 13:30:43 +0000
Для подписчиков
Сегодня я покажу на примере, как применять технику ESC10 для повышения привилегий в домене Active Directory. Начнем с того, что соберем информацию с сервера NFS и создадим свой сервер NATS для перехвата учеток. В логах NATS найдем учетную запись домена. После эксплуатации разрешений ACL скомпрометируем учетную запись gMSA.
В Grafana исправили критическую уязвимость, позволявшую выдать себя за администратора
Mon, 24 Nov 2025 12:30:30 +0000
Разработчики Grafana Labs предупредили о критической уязвимости CVE-2025-41115 (10 баллов из 10 возможных по шкале CVSS) в Grafana Enterprise. Проблема позволяет выдать нового пользователя за администратора или другую внутреннюю учетную запись.
Mon, 24 Nov 2025 12:30:30 +0000
Разработчики Grafana Labs предупредили о критической уязвимости CVE-2025-41115 (10 баллов из 10 возможных по шкале CVSS) в Grafana Enterprise. Проблема позволяет выдать нового пользователя за администратора или другую внутреннюю учетную запись.
Google обнаружила малварь BadAudio, применявшуюся в шпионских кампаниях APT24
Mon, 24 Nov 2025 10:30:30 +0000
Исследователи Google Threat Intelligence Group (GTIG) раскрыли детали шпионской кампании китайской группы APT24. Эта активность длится около трех лет, и хакеры используют в атаках ранее недокументированную малварь BadAudio.
Mon, 24 Nov 2025 10:30:30 +0000
Исследователи Google Threat Intelligence Group (GTIG) раскрыли детали шпионской кампании китайской группы APT24. Эта активность длится около трех лет, и хакеры используют в атаках ранее недокументированную малварь BadAudio.
ИБ-компания CrowdStrike поймала инсайдера, который сливал данные хакерам
Mon, 24 Nov 2025 08:30:18 +0000
Компания CrowdStrike подтвердила, что в прошлом месяце ее специалисты выявили и уволили сотрудника, который передал хакерам скриншоты внутренних систем компании.
Mon, 24 Nov 2025 08:30:18 +0000
Компания CrowdStrike подтвердила, что в прошлом месяце ее специалисты выявили и уволили сотрудника, который передал хакерам скриншоты внутренних систем компании.
Бумажный выпуск «Хакера» с лучшими статьями 2025 года передан в печать
Fri, 21 Nov 2025 18:00:09 +0000
Напоминаем о скором выходе бумажного выпуска «Хакера», в котором собраны лучшие статьи за 2025 год. Рады сообщить, что тираж уже передан в печать, и рассылка заказов стартует в декабре — номер как раз успеет под елку! Мы продолжаем принимать заказы, поэтому у тебя есть возможность пополнить свою коллекцию или порадовать подарком друзей.
Fri, 21 Nov 2025 18:00:09 +0000
Напоминаем о скором выходе бумажного выпуска «Хакера», в котором собраны лучшие статьи за 2025 год. Рады сообщить, что тираж уже передан в печать, и рассылка заказов стартует в декабре — номер как раз успеет под елку! Мы продолжаем принимать заказы, поэтому у тебя есть возможность пополнить свою коллекцию или порадовать подарком друзей.
Фишинговый набор Sneaky2FA взял на вооружение атаки browser-in-the-browser
Fri, 21 Nov 2025 17:30:55 +0000
Специалисты Push Security заметили, что фишинговая платформа Sneaky2FA теперь поддерживает атаки browser-in-the-browser, что позволяет создавать поддельные окна для входа и похищать учетные данные и сессии.
Fri, 21 Nov 2025 17:30:55 +0000
Специалисты Push Security заметили, что фишинговая платформа Sneaky2FA теперь поддерживает атаки browser-in-the-browser, что позволяет создавать поддельные окна для входа и похищать учетные данные и сессии.
Мерч «Хакера»: футболки и бейсболки для тех, кто не носит корпоративный дресс-код
Fri, 14 Nov 2025 18:45:43 +0000
Праздники уже близко, так что вот еще пара идей для подарков в копилку — наш мерч станет отличным подарком для друзей и коллег из комьюнити, а еще им можно порадовать самого себя. В коллекции «Хакера» тебя ждут 15 уникальных дизайнов футболок и четыре модели бейсболок.
Fri, 14 Nov 2025 18:45:43 +0000
Праздники уже близко, так что вот еще пара идей для подарков в копилку — наш мерч станет отличным подарком для друзей и коллег из комьюнити, а еще им можно порадовать самого себя. В коллекции «Хакера» тебя ждут 15 уникальных дизайнов футболок и четыре модели бейсболок.
В Госдуму внесен законопроект, предусматривающий штрафы за авторизацию через зарубежные сервисы
Fri, 14 Nov 2025 18:30:29 +0000
В Госдуму внесли законопроект, который предусматривает административную ответственность и штрафы в размере до 700 000 рублей для владельцев российских сайтов, которые игнорируют требования об авторизации пользователей только через российские сервисы.
Fri, 14 Nov 2025 18:30:29 +0000
В Госдуму внесли законопроект, который предусматривает административную ответственность и штрафы в размере до 700 000 рублей для владельцев российских сайтов, которые игнорируют требования об авторизации пользователей только через российские сервисы.
RCE-уязвимость в ImunifyAV угрожает миллионам сайтов
Fri, 14 Nov 2025 17:30:19 +0000
В сканере ImunifyAV для Linux-серверов, который используют десятки миллионов сайтов, обнаружили уязвимость удаленного выполнения кода. Проблема позволяет скомпрометировать окружение хоста.
Fri, 14 Nov 2025 17:30:19 +0000
В сканере ImunifyAV для Linux-серверов, который используют десятки миллионов сайтов, обнаружили уязвимость удаленного выполнения кода. Проблема позволяет скомпрометировать окружение хоста.
Anthropic: китайские хакеры использовали Claude Code для кибершпионажа
Fri, 14 Nov 2025 15:30:06 +0000
Китайские хакеры применяли ИИ-инструмент Claude Code для атак на 30 крупных компаний и правительственных организаций. По данным Anthropic, в некоторых случаях злоумышленники добились успеха.
Fri, 14 Nov 2025 15:30:06 +0000
Китайские хакеры применяли ИИ-инструмент Claude Code для атак на 30 крупных компаний и правительственных организаций. По данным Anthropic, в некоторых случаях злоумышленники добились успеха.
Ultra App Kit. Пишем программы на новом кросс-платформенном фреймворке
Fri, 14 Nov 2025 13:30:55 +0000
Для подписчиков
В этой статье посмотрим и испытаем на реальных задачах библиотеку Ultra App Kit. Это современный кросс‑платформенный фреймворк для C++, который позволяет писать оконные приложения и широко применяет последние стандарты C++14 и С++17. С ним удобно использовать интеллектуальные указатели и другие возможности современных «плюсов».
Fri, 14 Nov 2025 13:30:55 +0000
Для подписчиков
В этой статье посмотрим и испытаем на реальных задачах библиотеку Ultra App Kit. Это современный кросс‑платформенный фреймворк для C++, который позволяет писать оконные приложения и широко применяет последние стандарты C++14 и С++17. С ним удобно использовать интеллектуальные указатели и другие возможности современных «плюсов».
Червь IndonesianFoods создал более 100 000 вредоносных пакетов в npm
Fri, 14 Nov 2025 12:30:00 +0000
В npm обнаружили еще одного самораспространяющегося червя IndonesianFoods, который каждые семь секунд порождает новые пакеты. По данным специалистов Sonatype, малварь уже создала более 100 000 пакетов, и их количество продолжает расти.
Fri, 14 Nov 2025 12:30:00 +0000
В npm обнаружили еще одного самораспространяющегося червя IndonesianFoods, который каждые семь секунд порождает новые пакеты. По данным специалистов Sonatype, малварь уже создала более 100 000 пакетов, и их количество продолжает расти.
Операция Endgame: правоохранители отключили более 1000 серверов Rhadamanthys, VenomRAT и Elysium
Fri, 14 Nov 2025 10:30:07 +0000
Правоохранительные органы из девяти стран отключили свыше 1000 серверов, использовавшихся инфостилером Rhadamanthys, трояном VenomRAT и ботнетом Elysium. Это очередной этап операции «Эндшпиль» — международной кампании, направленной против киберпреступности, координируемой Европолом и Евроюстом.
Fri, 14 Nov 2025 10:30:07 +0000
Правоохранительные органы из девяти стран отключили свыше 1000 серверов, использовавшихся инфостилером Rhadamanthys, трояном VenomRAT и ботнетом Elysium. Это очередной этап операции «Эндшпиль» — международной кампании, направленной против киберпреступности, координируемой Европолом и Евроюстом.
Фоторамки на базе Android подгружают малварь во время запуска
Fri, 14 Nov 2025 08:30:00 +0000
Исследователи обнаружили, что цифровые фоторамки Uhale, работающие под управлением Android, имеют множество критических уязвимостей, а некоторые модели и вовсе скачивают и запускают вредоносное ПО прямо во время загрузки.
Fri, 14 Nov 2025 08:30:00 +0000
Исследователи обнаружили, что цифровые фоторамки Uhale, работающие под управлением Android, имеют множество критических уязвимостей, а некоторые модели и вовсе скачивают и запускают вредоносное ПО прямо во время загрузки.
Хакеры применяли 0-day-уязвимости Citrix и Cisco ISE в своих атаках
Thu, 13 Nov 2025 19:30:16 +0000
Эксперты Amazon Threat Intelligence обнаружили атаки с использованием двух критических 0-day — CVE-2025-5777 (Citrix Bleed 2) в NetScaler ADC/Gateway и CVE-2025-20337 в Cisco Identity Service Engine (ISE). Оказалось, что злоумышленники эксплуатировали эти ошибки еще до того, как производители опубликовали информацию о них и выпустили патчи.
Thu, 13 Nov 2025 19:30:16 +0000
Эксперты Amazon Threat Intelligence обнаружили атаки с использованием двух критических 0-day — CVE-2025-5777 (Citrix Bleed 2) в NetScaler ADC/Gateway и CVE-2025-20337 в Cisco Identity Service Engine (ISE). Оказалось, что злоумышленники эксплуатировали эти ошибки еще до того, как производители опубликовали информацию о них и выпустили патчи.
Microsoft исправила уязвимость нулевого дня в ядре Windows
Thu, 13 Nov 2025 18:39:57 +0000
На этой неделе компания Microsoft выпустила ноябрьские патчи, устранив 63 уязвимости в своих продуктах. Среди них был баг нулевого дня CVE-2025-62215 в ядре Windows, который уже используется хакерами в реальных атаках.
1
Thu, 13 Nov 2025 18:39:57 +0000
На этой неделе компания Microsoft выпустила ноябрьские патчи, устранив 63 уязвимости в своих продуктах. Среди них был баг нулевого дня CVE-2025-62215 в ядре Windows, который уже используется хакерами в реальных атаках.