Больше, чем просто безопасность, или Зачем контролировать зависимости
Привет, Хабр! Меня зовут Артём Бердашкевич, в Positive Technologies руковожу направления DevSecOps. Сегодня хочу поговорить о теме, которая с годами становится только острее — о контроле зависимостей и о том, почему привычных подходов к нему уже катастрофически не хватает. Современная разработка...
[Перевод] Mythos «обнаружил» CVE, уже находящийся в его обучающих данных, но это всё равно тревожит
Anthropic попала в заголовки прессы, заявив, что Claude Mythos создала «первый удалённый эксплойт ядра, обнаруженный и использованный ИИ». Мы решили изучить, как ей это удалось, и нашли 20-летний баг, скрывавшийся на ровном месте. Давайте разберёмся, что, по нашему мнению, сделала Mythos, и что это...
В фокусе RVD: трендовые уязвимости апреля
Хабр, привет! На связи команда инженер-аналитиков R-Vision. Мы проанализировали широкий спектр уязвимостей, выявленных в апреле 2026 года, и включили в дайджест лишь те, что представляют наибольший практический интерес по уровню риска, подтверждённой эксплуатации и актуальности для специалистов по...
[Перевод] 44 CVE в uutils: что Rust ловит, а что нет на границе с системой
В апреле 2026 года Canonical раскрыла 44 CVE в uutils. Это переписанная на Rust версия GNU coreutils, которая в Ubuntu идёт по умолчанию с 25.10. Раскрытие пришло из внешнего аудита, заказанного перед релизом 26.04 LTS. Большую часть уязвимостей нашли обычным ревью кода. Ни borrow checker, ни...
Топ самых интересных CVE за апрель 2026 года
Собрали самые интересные CVE апреля в нашу традиционную подборку. Критическими уязвимостями под RCE в прошлом месяце отметились Microsoft Azure и Bing, а также Mozilla Firefox и Thunderbird. Месяц не обошёлся и без критических уязвимостей в продуктах от Cisco: в IMC и SSM On-Prem исправили обход...
Теряет ли GitHub доверие индустрии?
Почему для некоторых GitHub перестал быть безопасным дефолтом, и что с этим делать - если вы, конечно, не хотите узнать об этом в день блокировки аккаунта или когда ваши закрытые репозитории могут общественным достоянием? Думаю, для многих GitHub почти стал именем нарицательным. Помню, как я не...
Апрельский «В тренде VM»: уязвимость в Microsoft SharePoint
Хабр, привет! На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies регулярно исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов,...
Охота на CVE в Cursor IDE: полный технический разбор безопасности AI-редактора
Cursor — AI-powered IDE на базе VS Code, которая обрабатывает миллионы строк кода разработчиков через свои серверы. Когда я задумался о безопасности этого продукта, возник вопрос: насколько надёжна серверная модель авторизации, которая стоит между бесплатным пользователем и Claude 4 Opus? Читать...
[Перевод] Знакомство с одним прогоном Mythos применительно к Firefox: а разговоров-то было?
Когда компания Anthropic анонсировала свою большую языковую модель Mythos , на первый взгляд этот инструмент произвёл неиллюзорное впечатление, а кого-то и всерьёз озаботил. Но, вчитавшись в материалы о Mythos, замечаешь, что общественный отклик не столь однозначен, как броские заголовки. То и дело...
Windows Defender как таран: три 0-day за 13 дней и два из них всё ещё без патча
За две недели апреля 2026-го один анонимный исследователь выложил в открытый доступ три рабочих эксплойта против Microsoft Defender. Все три позволяют обычному пользователю без прав администратора получить SYSTEM. Два из них на момент публикации этого текста всё ещё без патча, и Huntress уже ловит...
Как наказать цифрового воробья или как я проходил таск PigeonsRevenge от платформы ACLabs.pro
Данный таск был частью 5 сезона CTF, который проходил на площадке ACLabs. Машина необычная с увлекательным сюжетом и интересными уязвимостями. Условие задачи: Борис — старый почтовый голубь. Катя, его голубка, улетела к наглому Воробью. Три дня Борис пил дешёвое пойло и строчил план мести. Теперь...
Топ самых интересных CVE за март 2026 года
Всем привет! Подводим итоги марта по части самых интересных CVE. Дайджест был бы неполным без десяточки от Cisco: небезопасная десериализация под RCE в Cisco FMC, активно эксплуатируемая с конца января. Отдельно также отметилась компрометация цепочки поставок сканера уязвимостей Aqua Trivy с далеко...
Уязвимости в Spring AI и ONNX: как дыры в ИИ‑фреймворках превращаются в утечки данных и чужие модели
ИИ‑фреймворки давно въехали в прод, но к ним часто относятся как к «научной приблуде», а не к ещё одному входу в ваши данные и инфраструктуру. Spring AI и ONNX крутятся где‑то между ML‑командами, продуктами вендоров и внутренними ассистентами, и на определённом этапе за ними перестают успевать...
Март, Jetty и утекшая память
За окном весна, на улице уже вовсю и ярко светит солнце, поют птички и тает последний снег. А в знаменитом сервере Jetty обнаружилась новая дыра космических масштабов. Читать далее...
Февральский «В тренде VM»: уязвимости в продуктах Microsoft
Хабр, привет! На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies регулярно исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов,...
CVE-2026-21876: Как найти критический байпас широко использующегося WAF за 3 дня, если лень читать сорсы
Вообще, это мой первый опыт написания статьи на хабре, но с выпуска патча прошло несколько дней, и вдруг я решил поделиться самим процессом исследования. Всем привет, я Daytrift Newgen, и вот моя простая и весьма смешная история обнаружения байпаса от начала исследований до патча и advisory. Читать...
Топ самых интересных CVE за декабрь 2025 года
Всем привет! Закрываем год подборкой главных CVE декабря. Звездой месяца, несомненно, стала React2Shell — единственный плюс, что её исправили в начале декабря, а не на праздники, как MongoBleed. Кроме того, в Fortinet закрыли уязвимость на обход аутентификации, а в продуктах Apple в WebKit, который...
Гадание на взломах. Предсказательная сила EPSS
В конце года принято подводить итоги и делать предсказания. Давайте совместим оба ритуала и посмотрим, насколько лучше эксперты СайберОК могли бы контролировать поверхность атак, если бы слепо верили в магию EPSS. Спойлер: контролировали бы не очень. Читать далее...
Назад