/ Безопасность
	- Виртуальные серверы и изолированные окружения
	- Квоты, ограничения
	- Firewall
	- Шифрование, SSH, SSL
	- Приватность
	- Вирусы, вредоносное ПО и спам
	- Исследования
	-       Атаки на инфраструктуры
	-       Методы атак
	-       Механизмы защиты
	-       Проблемы с криптографией
	- Локальные уязвимости
	-       Уязвимости в маршрутизаторах и оборудовании
	-       Удалённые уязвимости
	-       Уязвимости в процессорах
	- Взломы
·	05.02.2026	Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настройки nginx для перенаправления трафика (16 +8)
	Сформирован выпуск основной ветки nginx 1.29.5, в рамках которой продолжается развитие новых возможностей, а также выпуск параллельно поддерживаемой стабильной ветки nginx 1.28.2, в которую вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В обновлениях устранена уязвимость (CVE-2026-1642), позволяющая атакующему, имеющему возможность вклиниться (MITM) в канал связи между nginx и upstream-сервером, подставить отправляемые клиенту ответы. Проблема затрагивает конфигурации, проксирующие запросы (HTTP 1.x, HTTP/2, gRPC или uWSGI) к вышестоящему серверу с использованием TLS-шифрования... (16 +8) обсуждение | весь текст
·	05.02.2026	Microsoft развивает открытую систему sandbox-изоляции Litebox (73 +6)
	Джеймс Моррис (James Morris), мэйнтенер подсистемы обеспечения безопасности ядра Linux, возглавляющий в компании Microsoft команду "Linux Emerging Technologies", представил проект Litebox, позиционируемый как сфокусированная на безопасности операционная система в форме библиотеки (Library OS). Litebox может использоваться в программах или ядрах как дополнительный слой изоляции, блокирующий доступ к излишней функциональности ядер или API для снижения поверхности атак. Код проекта написан на языке Rust и открыт под лицензией MIT... (73 +6) обсуждение | весь текст
·	05.02.2026	В VirtualBox добавлена предварительная поддержка работы поверх гипервизора KVM (90 +28)
	В репозиторий системы виртуализации VirtualBox добавлены изменения, позволяющие использовать встроенный в ядро Linux гипервизор KVM вместо специфичного модуля ядра VirtualBox (vboxdrv). Реализация подготовлена сотрудниками Oracle и развивается отдельно от набора патчей VirtualBox-KVM, поддерживаемого компанией Cyberus Technology. Отмечается, что Oracle начала работу над KVM-бэкендом несколько лет назад, но из-за нехватки инженерных ресурсов его разработка затянулась... (90 +28) обсуждение | весь текст
·	02.02.2026	Первый публичный релиз ANet, стека для создания защищённых туннелей (124 +40)
	Проект ANet (ANet Secure Transport Protocol) развивает альтернативный стек для организации защищённых туннелей, предназначенный для объединения частных сетей в условиях, когда стандартные решения (WireGuard, OpenVPN) в силу разных обстоятельств не применимы. Проект позиционируется не как очередной форк WireGuard, а как "Сеть Друзей" (Friends-to-Friends VPN) с упором на использование зарекомендовавших себя криптоалгоритмов и автономную работу в режиме "Dead Man's Hand". В ANet используется собственный транспортный протокол ASTP (ANet Secure Transport Protocol), обеспечивающий полное сквозное шифрование, устойчивый к высокой потере пакетов и неотличимый от случайного UDP-трафика. Код написан с нуля на языке Rust и распространяется под лицензией MIT, но с явным запретом на включение в проект зависимостей под GPL 2.0 и 3.0... (124 +40) обсуждение | весь текст
·	02.02.2026	Атака на проект Notepad++, приведшая к выборочной подмене обновлений (128 +22)
	Разработчики Notepad++, открытого редактора кода для платформы Windows, опубликовали разбор инцидента, в результате которого была скомпрометирована сетевая инфраструктура провайдера и некоторые пользователи Notepad++ получили подменённые исполняемые файлы, загружаемые с использованием системы автоматической доставки обновлений WinGUp... (128 +22) обсуждение | весь текст
·	01.02.2026	Компания Meta переписала часть мессенджера WhatsApp на языке Rust (225 +24)
	Инженеры из компании Meta* опубликовали отчёт о переработке компонентов мессенджера WhatsApp с использованием языка Rust. В рамках инициативы по усилению безопасности проекта был подготовлен новый вариант библиотеки wamedia, изначально написанной на языке C++ и применяемой в WhatsApp для отправки и обработки мультимедийных файлов в формате MP4... (225 +24) обсуждение | весь текст
·	01.02.2026	Атакующим удалось добавить незамеченный вредоносный код в репозиторий Plone (43 +15)
	Разработчики свободной системы управления контентом Plone, написанной на Python и JavaScript/NodeJS, объявили об инциденте, в результате которого в git-репозиторий проекта на GitHub был добавлен вредоносный код. Изначально в репозитории были выявлены три появившихся 7 января изменения (1, 2, 3), добавляющие вредоносный код в JavaScript-файлы проекта (1, 2, 3). Разбор инцидента показал, что интеграция вредоносного кода была произведена в результате компрометации учётной записи одного из разработчиков, токен доступа которого был захвачен злоумышленниками после запуска вредоносного ПО в его системе... (43 +15) обсуждение | весь текст
·	23.01.2026	Проект Singularity развивает открытый руткит, обходящий SELinux, Netfilter, LKRG и eBPF (100 +37)
	Матеус Алвес (Matheus Alves), исследователь безопасности, специализирующийся на вредоносном ПО, опубликовал обновление проекта Singularity, развивающего открытый руткит для ядра Linux, распространяемый под лицензией MIT. Целью проекта является демонстрация методов, позволяющих скрыть своё присутствие после получения root-доступа и сохранить возможность скрытого выполнения привилегированных операций. Предполагается, что Singularity может быть полезен исследователям безопасности для тестирования и разработки утилит обнаружения и блокирования руткитов... (100 +37) обсуждение | весь текст
·	23.01.2026	На соревновании Pwn2Own Automotive 2026 продемонстрировано 76 уязвимостей автомобильных систем (118 +13)
	Подведены итоги трёх дней соревнований Pwn2Own Automotive 2026, проведённых на конференции Automotive World в Токио. На соревнованиях были продемонстрированы 76 ранее неизвестных уязвимостей (0-day) в автомобильных информационно-развлекательных платформах, операционных системах и устройствах зарядки электромобилей. При проведении атак использовались самые свежие прошивки и операционные системы со всеми доступными обновлениями и в конфигурации по умолчанию... (118 +13) обсуждение | весь текст
·	22.01.2026	Уязвимость в GitLab, позволяющая обойти двухфакторную аутентификацию (28 +12)
	Опубликованы корректирующие обновления платформы для организации совместной разработки GitLab - 18.8.2, 18.7.2, 18.6.4, в которых устранена уязвимость (CVE-2026-0723), позволяющая обойти проверку при двухфакторной аутентификации. Для совершения атаки злоумышленник должен знать идентификатор учётных данных жертвы. Уязвимость вызвана отсутствием должной проверки возвращаемого значения в сервисах аутентификации... (28 +12) обсуждение | весь текст
·	21.01.2026	Уязвимости в Java SE, MySQL, VirtualBox и других продуктах Oracle (93 +11)
	Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В январском обновлении устранено 337 уязвимостей... (93 +11) обсуждение | весь текст
·	20.01.2026	Уязвимость в telnetd, позволяющая подключиться с правами root без аутентификации (108 +45)
	В сервере telnetd из набора GNU InetUtils выявлена уязвимость, позволяющая подключиться под любым пользователем, включая пользователя root, без проверки пароля. CVE-идентификатор пока не присвоен. Уязвимость проявляется начиная с версии InetUtils 1.9.3 (2015 год) и остаётся неисправленной в актуальном выпуске 2.7.0. Исправление доступно в форме патчей (1, 2)... (108 +45) обсуждение | весь текст
·	19.01.2026	Захват контроля над snap-пакетами, связанными с просроченными доменами (83 +24)
	Алан Поуп (Alan Pope), бывший менеджер по инжинирингу и взаимодействию с сообществом в компании Canonical, обратил внимание на новую волну атак на пользователей каталога приложений Snap Store. Вместо регистрации новых учётных записей злоумышленники начали выкупать просроченные домены, фигурирующие в email зарегистрированных разработчиков snap-пакетов. После перекупки домена злоумышленники перенаправляют почтовый трафик на свой сервер и, получив контроль над email, инициируют процесс восстановления забытого пароля для доступа к учётной записи... (83 +24) обсуждение | весь текст
·	17.01.2026	Уязвимость в Android-прошивке Pixel 9, позволяющая выполнить код через отправку сообщения (163 +45)
	Исследователи из команды Google Project Zero подробно разобрали технику создания рабочего эксплоита для Android-прошивки смартфонов Pixel 9, позволяющего удалённо выполнить свой код с правами ядра Linux, через отправку SMS- или RCS-сообщения со специально оформленным звуковым вложением. Атака осуществляется без выполнения каких-либо действий пользователем, в том числе не требует просмотра или прослушивания полученного сообщения... (163 +45) обсуждение | весь текст
·	16.01.2026	Let's Encrypt начал выдавать сертификаты для IP-адресов и 6-дневные сертификаты (178 +20)
	Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, начал выдавать бесплатные сертификаты для IP-адресов, а также предоставил возможность получения TLS-сертификатов, время жизни которых ограничено 160 часами (6 днями). 13 мая намерены добавить поддержку опциональной выдачи сертификатов, действующих 45 дней. В соответствии с ранее объявленным планом 10 февраля 2027 года максимальный срок действия сертификатов будет сокращён с 90 до 64 дней, а 16 февраля 2028 года - до 45 дней... (178 +20) обсуждение | весь текст
Следующая страница (раньше) >>