Новости: уязвимость

Израильский исследователь обнаружил шесть критических уязвимостей нулевого дня (PackageGate) в менеджерах пакетов npm и yarn, позволяющих обходить защиту от атак типа “червя” Shai-Hulud. Рекомендовано перейти на pnpm, vlt или Bun и обновлять ПО.

Microsoft выпустила срочное исправление для критической уязвимости в Office, которой уже пользуются хакеры. Однако не все версии получат патч немедленно. Пользователям Office 2016/2019 предложены ручные настройки реестра до выхода официального обновления.

Команда Google Project Zero раскрыла серьезную уязвимость в WhatsApp для Android после того, как Meta не смогла оперативно выпустить исправление. Эксплойт позволяет злоумышленникам внедрять вредоносные медиафайлы бесконтактно.

Исследователи Symantec обнаружили в Chrome Web Store вредоносные расширения с аудиторией более 100 тыс. пользователей, которые крадут пароли и данные через буфер обмена. Узнайте, какие расширения необходимо удалить немедленно для защиты ваших финансов и конфиденциальности.

Критические уязвимости в VMware vCenter Server (CVE-2024-37079) эксплуатируются спустя год после выпуска патча от Broadcom. CISA внесла брешь в каталог KEV, требуя немедленного устранения. Ошибка в DCERPC может привести к RCE.

Атакующие обходят недавнее исправление Fortinet для критической уязвимости SSO в FortiCloud, используя новый путь атаки. Эксперты фиксируют повторные взломы даже на полностью обновленных устройствах.

Критическая уязвимость в устаревшем протоколе Telnet (CVE-2026-24061) позволяет злоумышленникам удаленно обходить аутентификацию и получать права root, используя простую команду. Проблема затрагивает множество IoT и встраиваемых систем, не получающих обновлений.

Анализ Брукингского института: несмотря на высокую подверженность ИИ у юристов и разработчиков, 26,5 млн работников хорошо адаптируются. Однако 6,1 млн (86% из которых — женщины) в административных ролях рискуют из-за низкой адаптивности. Стоматологи и пожарные в безопасности.

Эксперты по кибербезопасности зафиксировали волну атак на межсетевые экраны FortiGate через скомпрометированные учетные записи SSO. Злоумышленники обходят защиту и изменяют настройки, несмотря на недавние патчи, эксплуатируя возможное упущение в исправлении CVE-2025-59718.

Cisco выпустила критические патчи для уязвимости удаленного выполнения кода (CVE-2026-20045) в продуктах унифицированных коммуникаций. CISA добавила уязвимость в каталог KEV, подтвердив её активную эксплуатацию. Эксплойт позволяет получить доступ к системе и повысить привилегии до root без участия пользователя.