В GitLab исправили серьезную XSS-уязвимость, которую неаутентифицированные злоумышленники могли использовать для захвата учетных записей пользователей.
Разработчики GitHub выпустили патчи, устраняющие критическую уязвимость в GitHub Enterprise Server (GHES). Проблема получила идентификатор CVE-2024-4985 (максимальные 10 баллов по шкале CVSS) и позволяла злоумышленникам обходить аутентификацию в случае использования SAML SSO (Single Sign-On).
«Лаборатория Касперского» опубликовала отчет, посвященный ландшафту киберугроз за первый квартал 2024 года и 2023 год в России и странах СНГ.
Ранее на этой неделе компания Microsoft анонсировала новую ИИ-функцию в Windows 11, которая получила название Recall. Она фиксирует всю активность пользователя компьютера, а затем позволяет формировать отчеты и выполнять поиск по истории за последние три месяца. ИБ-эксперты уже называют Recall кошмаром с точки зрения конфиденциальности и безопасности.
Компания Mitsubishi Electric поблагодарила специалиста Positive Technologies за обнаружение ряда уязвимостей в процессорных модулях ПЛК серий MELSEC System Q и MELSEC System L. Это оборудование может применяться в химической промышленности, для производства полупроводников, автоматизации зданий и в других сферах. В России контроллеры MELSEC System Q используются, в частности, в нефтегазовой отрасли.
Компания Rockwell Automation предупредила клиентов о необходимости как можно скорее отключить от интернета все автоматизированные системы управления (АСУ или ICS, Industrial Control System), не предназначенные для работы в режиме онлайн. Это связано с участившимися случаями вредоносной активности по всему миру.
Компания Microsoft объявила, что во второй половине 2024 года начнет сокращать использование VBScript, сначала сделав его on-demand функцией, а затем удалив окончательно.
Критическая уязвимость во Fluent Bit может использоваться для атак на отказ в обслуживании и для удаленного выполнения кода. Эта проблема, получившая 9,8 балла по шкале CVSS, затрагивает крупных облачных провайдеров и многие технические компании, включая Microsoft, Amazon и Google.
18 мая в Нью-Йорке был арестован предполагаемый владелец и оператор даркнет-маркетплейса Incognito, который специализировался на продаже запрещенных веществ.