/ Безопасность
	- Виртуальные серверы и изолированные окружения
	- Квоты, ограничения
	- Firewall
	- Шифрование, SSH, SSL
	- Приватность
	- Вирусы, вредоносное ПО и спам
	- Исследования
	-       Атаки на инфраструктуры
	-       Методы атак
	-       Механизмы защиты
	-       Проблемы с криптографией
	- Локальные уязвимости
	-       Уязвимости в маршрутизаторах и оборудовании
	-       Удалённые уязвимости
	-       Уязвимости в процессорах
	- Взломы
·	24.10.2025	На соревновании Pwn2Own продемонстрированы взломы смартфонов, NAS, принтеров и устройств умного дома (38 +1)
	Подведены итоги трёх дней соревнований Pwn2Own Ireland 2025, на которых были продемонстрированы 46 успешных атак с использованием 73 ранее неизвестных уязвимостей (0-day) в смартфонах, маршрутизаторах, устройствах для умного дома, принтерах, сетевых хранилищах и системах видеонаблюдения. При проведении атак использовались самые свежие прошивки и операционные системы со всеми доступными обновлениями и в конфигурации по умолчанию... (38 +1) обсуждение | весь текст
·	24.10.2025	В Fedora 44 в RPM намерены активировать проверку пакетов по цифровой подписи (21 +3)
	В выпуске Fedora Linux 44, намеченном на весну 2026 года, планируют включить по умолчанию проверку пакетов по цифровой подписи в RPM. Если план будет утверждён комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки Fedora Linux, по умолчанию смогут быть установлены только пакеты с корректной цифровой подписью. При необходимости ручной установки пакетов предусмотрена возможность обхода проверки через явный запуск RPM с флагом "--nosignature" или отключение проверки через использование соответствующего API... (21 +3) обсуждение | весь текст
·	21.10.2025	Уязвимость в Rust-библиотеках для формата TAR, приводящая к распаковке файлов из вложенного архива (220 +44)
	В написанной на языке Rust библиотеке async-tar, предоставляющей функции для чтения и записи tar-архивов, выявлена уязвимость (CVE-2025-62518, кодовое имя TARmageddon), позволяющая при распаковке специально оформленного tar-архива не только извлечь размещённые в нём файлы, но и файлы, содержащиеся во вложенном tar-архиве. Уязвимость может быть использована для обхода систем верификации архивов и распаковки файлов, для которых не выполнялась проверка... (220 +44) обсуждение | весь текст
·	21.10.2025	В ядро Linux 6.18 принята реализация Binder IPC для Android, написанная на Rust (105 +22)
	В кодовую базу ядра Linux, на основе которой формируется релиз 6.18, принята реализация механизма межпроцессного взаимодействия Binder, написанная на языке Rust. Binder используется в Android для организации взаимодействия между процессами и удалённого вызова методов (один процесс Android может вызвать метод или функцию в другом процессе Android, используя Binder для идентификации, вызова и передачи аргументов между процессами). Код Binder был переписан на Rust в рамках проекта по усилению защищённости, продвижению приёмов безопасного программирования и повышению эффективности выявления проблем при работе с памятью в Android (около 70% из всех опасных уязвимостей, выявленных в Android, вызваны ошибками при работе с памятью)... (105 +22) обсуждение | весь текст
·	21.10.2025	Intel и AMD стандартизируют механизм ChkTag для защиты от уязвимостей при работе с памятью (312 +24)
	Компании Intel и AMD совместно развивают расширенный набор инструкций ChkTag (x86 Memory Tagging), который будет стандартизирован для унифицированной реализации в x86-процессорах различных производителей. По своим возможностям ChkTag напоминает расширение MTE (MemTag), уже поставляемое в процессорах ARM, и также позволяет блокировать эксплуатацию уязвимостей, вызванных обращением к уже освобождённым блокам памяти, переполнением буфера или обращением к памяти до инициализации... (312 +24) обсуждение | весь текст
·	19.10.2025	Взлом сайта Xubuntu с заменой ссылок на странице загрузки на вредоносное ПО (106 +27)
	Официальный сайт дистрибутива Xubuntu скомпрометирован неизвестными злоумышленниками, которые на странице загрузки дистрибутива поменяли ссылки, ведущие на торренты, на файл "https://xubuntu.org/wp-content/Xubuntu-Safe-Download.zip". В итоге на странице загрузки остались только ссылки на вредоносный архив и доступные зеркала. Разработчики Xubuntu пока не прокомментировали ситуацию, но несколько часов назад удалили вредоносный архив и заблокировали доступ к разделу "xubuntu.org/download/", организовав перенаправление на главную страницу сайта... (106 +27) обсуждение | весь текст
·	17.10.2025	В некоторых процессорах AMD Zen 5 генератор случайных чисел RDSEED выдаёт 0 в 10% случаев (201 +29)
	Инженер из компании Meta* в списке рассылки разработчиков ядра Linux обратил внимание на проблему с работой инструкции RDSEED в процессорах AMD на базе микроархитектуры Zen 5. В проведённых тестах инструкция RDSEED, предоставляющая доступ к аппаратному генератору энтропии, в 10% случаев возвращала значение 0 с успешным флагом завершения операции (CF=1). Так как значение 0 также возвращается в случае невозможности вернуть корректное случайное число и подобное состояние выделяется иным значением флага завершения операции (CF=0), предполагается, что в процессорах AMD имеется ошибка, приводящая к неверному определению состояния операции... (201 +29) обсуждение | весь текст
·	16.10.2025	Уязвимость в Samba, позволяющая удалённо выполнить код на сервере (53 +19)
	Опубликованы корректирующие выпуски пакета Samba 4.23.2, 4.22.5 и 4.21.9 с устранением уязвимости (CVE-2025-10230) в реализации сервера разрешения имён WINS, позволяющей добиться удалённого выполнения своего кода на сервере без прохождения аутентификации. Проблеме присвоен наивысший уровень опасности - 10 из 10... (53 +19) обсуждение | весь текст
·	16.10.2025	Уязвимость в обработчике GitHub Actions, позволявшая скомпрометировать пакеты в Nixpkgs (24 +8)
	Раскрыты сведения об уязвимостях в обработчиках GitHub Actions, автоматически вызываемых при отправке pull-запросов в репозиторий пакетов Nixpkgs, применяемый в дистрибутиве NixOS и в экосистеме, связанной с пакетным менеджером Nix. Уязвимость позволяла постороннему извлечь токен, предоставляющий доступ на запись и чтение к исходному коду всех пакетов, размещённых в Nixpkgs. Данный токен позволял напрямую вносить изменения в любой пакет через Git-репозиторий проекта, в обход процессов проверки и рецензирования изменений... (24 +8) обсуждение | весь текст
·	14.10.2025	Атака Pixnapping, определяющая содержимое экрана для перехвата 2FA-кодов в Android (70 +30)
	Группа исследователей из четырёх американских университетов разработала технику атаки Pixnapping (CVE-2025-48561), позволяющую из непривилегированных Android-приложений, не запрашивающих дополнительных полномочий, определить содержимое, выводимое на экран другими приложениями. В качестве примера практического применения атаки продемонстрировано определение кодов двухфакторной аутентификации, показываемых приложением Google Authenticator. Так же показано как можно применить атаку для извлечения конфиденциальных данных, выводимых на экран при работе с Gmail, Signal, Venmo и Google Maps... (70 +30) обсуждение | весь текст
·	11.10.2025	Google меняет политику публикации исправлений уязвимостей в Android (224 –36)
	Проект GrapheneOS, разрабатывающий альтернативную свободную прошивку Android, нацеленную на усиление безопасности и обеспечение конфиденциальности, сообщил о внесении компанией Google изменений в политику публикации исправлений уязвимостей для платформы Android и раскрытия информации об уязвимостях. Октябрьский отчёт об уязвимостях в Android опубликован пустым (в сентябрьском отчёте была информация о 114 уязвимостях)... (224 –36) обсуждение | весь текст
·	10.10.2025	Обновление OpenSSH 10.2 (8 +9)
	Спустя четыре дня после релиза OpenSSH 10.1 опубликован корректирующий выпуск OpenSSH 10.2, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. В новой версии отмечены только исправления ошибок:... (8 +9) обсуждение | весь текст
·	10.10.2025	Атака, использующая GitHub Copilot для извлечения данных из приватных репозиториев (30 +29)
	Исследователи из компании Legit Security разработали технику атаки на GitHub Copilot, позволяющую извлечь содержимое из приватных репозиториев при использовании чатбота для анализа присылаемых pull-запросов. В качестве примера продемонстрирована возможность определения хранимых в приватном репозитории ключей для доступа к облачному окружению AWS... (30 +29) обсуждение | весь текст
·	09.10.2025	Уязвимости в Redis и Valkey, позволяющие выполнить код на сервере при наличии доступа к БД (130 +13)
	Исследователи из компании Wiz выявили в СУБД Redis уязвимость (CVE-2025-49844), позволяющую добиться удалённого выполнения кода (RCE) на сервере. Проблеме присвоен наивысший уровень опасности (CVSS score 10 из 10), при этом для эксплуатации уязвимости атакующий должен иметь возможность отправки запросов к СУБД Redis, допускающей выполнение пользовательских Lua-скриптов... (130 +13) обсуждение | весь текст
·	08.10.2025	Компания Cisco выпустила антивирусный пакет ClamAV 1.5.0 (65 +12)
	После более года разработки компания Cisco опубликовала выпуск свободного антивирусного пакета ClamAV 1.5.0. Проект перешёл в руки Cisco в 2013 году после покупки компании Sourcefire, развивающей ClamAV и Snort. Код проекта распространяется под лицензией GPLv2. Ветка 1.5.0 отнесена к категории обычных (не LTS), обновления к которым публикуются как минимум в течение 4 месяцев после выхода первого релиза следующей ветки. Возможность загрузки базы сигнатур для не-LTS веток также обеспечивается как минимум ещё 4 месяца после выпуска следующей ветки... (65 +12) обсуждение | весь текст
Следующая страница (раньше) >>