Уязвимость в подсветке оказалась темнее системы: Armoury Crate даёт доступ уровня SYSTEM В приложении Armoury Crate от ASUS обнаружена критическая уязвимость (CVE-2025-3464, CVSS 8.8), позволяющая локальным злоумышленникам получить права SYSTEM на Windows-устройствах. Armoury Crate управляет подсветкой, вентиляторами, драйверами и работает с системными компонентами через драйвер AsIO3.sys, в котором и кроется проблема. Драйвер доверяет SHA-256-хэшу файла […]

Кто такой xoxo from Prague и зачем LockBit объявил за него охоту? Американское агентство CISA предупредило о массовых атаках на уязвимые версии SimpleHelp — популярного инструмента для удалённого администрирования, который активно используется IT-подрядчиками и MSP-компаниями. Хакеры используют давно закрытые, но не обновлённые уязвимости (CVE-2024-57726, -57727, -57728), чтобы получить доступ к инфраструктуре компаний и их клиентов. […]

Не root-доступ и не взлом — но графику уже меняют Nintendo Switch 2 только появилась в продаже, а исследователи уже нашли в ней первую уязвимость. Эксплойт обнаружил специалист по безопасности Дэвид Бьюкенен — он использует слабое место в общей библиотеке системы, позволяя изменить поведение программ без доступа к ядру. В качестве демонстрации он заставил консоль […]

Одна команда — и все данные исчезают без следа Смартфоны Ulefone и Krüger&Matz оказались уязвимы из-за критических ошибок в предустановленном ПО. Эти баги позволяют любому приложению выполнить сброс до заводских настроек или получить доступ к функциям шифрования — без рута и ведома пользователя. Идентификаторы уязвимостей: CVE-2024-13915 и CVE-2024-13916 (оценка 6,9 по CVSS), а также наиболее […]

MediaTek раскрыла уязвимости в своих чипсетах MediaTek опубликовала новый бюллетень безопасности, в котором сообщила о серии уязвимостей, затрагивающих широкий спектр устройств: от смартфонов и планшетов до AIoT-гаджетов, ТВ и аудиосистем. Производители были заранее предупреждены и получили обновления минимум за два месяца до публикации. Критическая уязвимость CVE-2025-20672, связанная с переполнением кучи в Bluetooth-модуле, получила 9.8 баллов […]

Просто введите «notfound» — и чужой Wi-Fi ваш. Одна из самых опасных уязвимостей 2025 года — CVE-2025-20188 — поражает беспроводные контроллеры Cisco на базе IOS XE. Horizon3 опубликовали технический разбор, который хоть и не содержит готового эксплойта, но даёт достаточно деталей, чтобы создать рабочую атаку. Ошибка, раскрытая Cisco 7 мая, позволяет удалённому злоумышленнику без авторизации […]

Популярный WordPress-плагин превратил интернет-магазины в открытую дверь Более 100 тысяч сайтов на WordPress оказались под угрозой из-за критической уязвимости (CVE-2025-47577, CVSS 10/10) в плагине TI WooCommerce Wishlist. По данным PatchStack, баг позволяет загружать на сервер любые файлы, включая вредоносные скрипты, и получать полный доступ к управлению сайтом. Уязвимость прячется в связке с плагином WC Fields […]

Гость не успел сказать «добрый вечер», а хакеры уже всё о нём знают Индустрия гостеприимства превратилась в рай для киберпреступников из-за катастрофически слабых паролей, защищающих критически важные системы. Новое исследование NordPass показало масштабы проблемы: отели, рестораны и сервисные компании по всему миру игнорируют базовые принципы информационной безопасности, подвергая риску данные гостей и бизнес-процессы. В системах […]

Сначала CVE, потом KEV — теперь LEV. Кто следующий? NIST представил новый инструмент для оценки вероятности эксплуатации уязвимостей — уравнение LEV (Likely Exploited Vulnerabilities). Оно помогает определить, насколько вероятно, что уязвимость уже была использована, даже если об этом ещё нет подтверждённых данных. LEV дополняет существующие инструменты, такие как каталог эксплуатируемых уязвимостей KEV от CISA, и […]

Премия $150 000 и исторический взлом гипервизора VMware на Pwn2Own На хакерском турнире Pwn2Own в Берлине впервые с 2007 года удалось успешно взломать гипервизор VMware ESXi с использованием уязвимости нулевого дня. Автором эксплойта стал Нгуен Хоанг Тач из команды STARLabs SG, использовавший уязвимость переполнения целого числа. За атаку он получил $150 000 и 15 очков […]