На Pwn2Own Berlin показали взлом Windows 11 и Microsoft Edge
В Берлине стартовало соревнование Pwn2Own Berlin 2026, посвященное взлому корпоративных технологий и ИИ. В первый день исследователи заработали 523 000 долларов США, продемонстрировав 24 уникальных 0-day-уязвимости в Windows, браузерах, LLM-инструментах и контейнерных решениях.
Дата: 15 Мая 2026 15:30:31Конференция «Периметр» пройдет в Москве 22 мая
22 мая 2026 года в Москве состоится бесплатная конференция «Периметр», посвященная наступательной информационной безопасности и ориентированная на тех, кто привык не только читать отчеты, но и писать эксплойты. «Периметр» — пространство, где инженеры ИБ, реверсеры, хардварщики и исследователи уязвимостей говорят на одном языке и могут спокойно уходить в детали. Организатором мероприятия выступает компания «Метаскан» — разработчик одноименного сканера уязвимостей периметра.
Дата: 15 Мая 2026 15:00:39Гора с секретами. Скрываем процессы в Linux c помощью mount
Для подписчиков
Сокрытие процессов — классическая задача для малвари. Обычно это территория руткитов: LKM-модули, перехват syscall-таблицы, подмена обработчиков в /proc. Все это требует загрузки кода в ядро, компиляции под конкретную версию и оставляет заметные следы. Но есть способ проще. Никаких модулей ядра и компиляции, только один штатный вызов mount с флагом MS_BIND.
Уязвимость в NGINX 18-летней давности приводит к удаленному выполнению кода
Исследователи из компании DepthFirst AI обнаружили в NGINX критическую уязвимость CVE-2026-42945, набравшую 9,2 балла по шкале CVSS. Проблема затрагивает все версии NGINX от 0.6.27 до 1.30.0 и существовала в коде около 18 лет.
Дата: 15 Мая 2026 12:30:27Код червя Shai-Hulud опубликовали на GitHub
Новая волна атак малвари Shai-Hulud затронула сотни пакетов в npm и PyPI. Хакеры из группировки TeamPCP скомпрометировали популярные проекты, включая TanStack и Mistral AI, встроили в них стилер для кражи секретов, а затем выставили внутренние репозитории Mistral AI в продажу. Вскоре после этого исходники самого червя были опубликованы на GitHub под лицензией MIT.
Дата: 15 Мая 2026 10:30:03Уязвимость Fragnesia позволяет получить root-права в Linux
Исследователи обнаружили уже третью за последние недели уязвимость в Linux, связанную с повышением привилегий. Новый баг получил название Fragnesia и позволяет локальному атакующему получить root-права в большинстве популярных дистрибутивов. PoC-эксплоит для свежей проблемы уже доступен в сети.
Дата: 15 Мая 2026 08:30:41Foxconn пострадала от кибератаки и утечки данных
Тайваньская компания Foxconn подтвердила, что ее североамериканские предприятия пострадали от кибератаки. Пока в компании не раскрывают деталей инцидента, однако ответственность за взлом уже взяла на себя вымогательская группировка Nitrogen.
Дата: 14 Мая 2026 17:30:11Microsoft исправила 30 критических уязвимостей в рамках «вторника обновлений»
В этом месяце разработчики Microsoft исправили множество уязвимостей в продуктах компании, включая баги в DNS Client, Netlogon и Office. Хотя в этом месяце обошлось без zero-day, некоторые проблемы позволяют удаленно выполнить код без аутентификации, а другие можно эксплуатировать через предварительный просмотр документов.
Дата: 14 Мая 2026 15:30:11«Пассворк» стал первым менеджером паролей с сертификацией ФСТЭК России
«Пассворк» получил сертификат ФСТЭК России № 5063 по четвертому уровню доверия — наивысшему для коммерческих средств защиты информации.
Дата: 14 Мая 2026 15:00:07Соседи по проводу. Препарируем сеть провайдера, который забыл про изоляцию клиентов
Для подписчиков
В обычный пятничный вечер я залез в Winbox поправить NAT — и обнаружил в Neighbors своего MikroTik два десятка чужих устройств: роутеры, NAS, точки доступа неизвестных контор. В этой статье я расскажу, как выяснил, что провайдер свалил всех корпоративных клиентов в один L2-сегмент без какой‑либо изоляции, разберу шесть сценариев атак — от ARP spoofing и брутфорса MAC Telnet до инъекции маршрутов через OSPF и построения ботнета, не выходящего в интернет, — и покажу, как закрыть периметр своими силами, раз уж провайдеру это неинтересно.