Новости: уязвимость

Разработчики обнаружили, что Claude Code от Anthropic игнорирует файлы .claudeignore и .gitignore, считывая конфиденциальные данные, такие как пароли и API-ключи, что создает серьезные риски безопасности, несмотря на попытки разработчиков заблокировать доступ.

Критическая уязвимость с возможностью побега из песочницы исправлена в библиотеке vm2 для Node.js, используемой для выполнения недоверенного кода. Несмотря на прекращение поддержки, проект был возрожден. Пользователям рекомендуется срочное обновление до версии 3.10.2 из-за бага CVE-2026-22709.

Российские и китайские шпионы, а также обычные преступники используют давно устраненную уязвимость WinRAR (CVE-2025-8088) для распространения RAT и стиллеров. Эксперты отмечают продолжающуюся эксплуатацию бага даже после выпуска патча.

Fortinet вновь столкнулась с проблемами безопасности: обнаружена критическая уязвимость обхода аутентификации (CVE-2026-24858) в FortiCloud SSO. Администраторам, использующим FortiOS, FortiManager и FortiAnalyzer, необходимо срочно обновиться, пока компания работает над полным набором исправлений.

Исследователи Google обнаружили, что старые версии WinRAR активно эксплуатируются хакерскими группами, связанными с Россией и Китаем, для заражения систем. Уязвимость CVE-2025-8088 позволяет внедрять вредоносное ПО. Эксплойт также продаётся на чёрном рынке.

Исследователь Google оставил без внимания уязвимость обхода UAC на протяжении многих лет, но она стала реально эксплуатируемой после внедрения новой функции защиты Windows Administrator Protection, которую Microsoft поспешно исправила.

Новый штамм вымогателя Sicarii содержит критический дефект в управлении ключами RSA: закрытый ключ удаляется сразу после шифрования, делая данные невосстановимыми. Это подрывает стандартную модель RaaS. Эксперты Halcyon предупреждают о невозможности восстановления данных даже при уплате выкупа.

Fortinet устраняет критическую уязвимость нулевого дня (CVE-2026-24858) в функции FortiCloud SSO, которая позволяла злоумышленникам обходить аутентификацию и создавать учетные записи администраторов. CISA внесла брешь в каталог KEV. Компания временно отключала сервис и выпускает патчи.

Microsoft выпустила предупреждение об активной эксплуатации критической уязвимости нулевого дня в Office (CVE-2026-21509), позволяющей обойти защиту через открытие документа OLE. Эксперты призывают немедленно установить патчи и перезагрузить приложения для активации защиты.

Microsoft выпустила экстренный патч для Office из-за активного использования уязвимости нулевого дня (CVE-2026-21509), позволяющей обходить защиту устаревших компонентов. Пользователи Office 2016/2019 пока могут использовать только ручные правки реестра для смягчения рисков.