Первый зампред комитета Госдумы по информполитике и председатель РОЦИТ Антон Горелкин заявил, что компания Microsoft, которой принадлежит GitHub, «не просто ушла из России, но занимается откровенным вредительством». По его словам, скоро GitHub может стать недоступен в РФ, поэтому российским разработчикам следует как можно скорее переносить свои проекты на альтернативные площадки.
На прошлой неделе хакеры взломали компанию Instructure, разрабатывающую образовательную платформу Canvas, подменили страницы входа и потребовали выкуп. Из-за массового сбоя образовательные учреждения переносили экзамены, а студенты по всему миру лишились доступа к заданиям и материалам.
ИБ-исследователь Андреас Макрис (Andreas Makris) обнаружил критические проблемы в роботах компании Yarbo — модульных газонокосилках, снегоуборщиках и триммерах с дистанционным управлением. Найденные баги позволяют удаленно перехватывать контроль над устройствами, отключать аварийную остановку и получать доступ к данным владельцев.
Для подписчиковcPanel — популярная панель управления хостингом, которая занимает около 20% рынка среди панелек. Shodan находит 1,5 миллиона серверов, где она установлена. Один сервер с панелью может обслуживать тысячи сайтов, и всего их десятки, если не сотни миллионов. Поэтому новость о zero-day-уязвимости в cPanel серьезно напугала многих админов.
Основатель и ведущий разработчик Curl Даниэль Стенберг (Daniel Stenberg) протестировал «закрытую» ИИ-модель Mythos компании Anthropic и остался не слишком впечатлен: Mythos нашла в Curl лишь одну незначительную уязвимость.
Спустя всего пару недель после истории с CopyFail исследователи раскрыли еще одну опасную уязвимость повышения привилегий — Dirty Frag. Эксплоит позволяет локальному пользователю получить root-права практически во всех популярных дистрибутивах Linux, при этом атака не связана с состоянием гонки и не приводит к сбоям ядра. Хуже того, PoC-код уже опубликован, а Microsoft зафиксировала признаки эксплуатации уязвимости в реальных атаках.
Через официальный сайт DAEMON Tools почти месяц распространялись троянизированные версии ПО с бэкдором внутри. Исследователи «Лаборатории Касперского» называют произошедшее полноценной атакой на цепочку поставок, так как зараженные инсталляторы были подписаны действительным сертификатом разработчика и выглядели абсолютно легитимно.
Исследователи из компании HiddenLayer обнаружили на платформе Hugging Face вредоносный репозиторий Open-OSS/privacy-filter, который выдавал себя за легитимный проект OpenAI Privacy Filter, но на деле распространял инфостилер для Windows. До удаления репозиторий успел подняться на первое место в трендах платформы, и его загрузили около 244 000 раз.
Pentest award — это отраслевая награда для пентестеров, которую ежегодно вручает компания Авилликс. Основная задача премии — выделить лучших специалистов и показать их вклад в развитие пентеста. В этом году мероприятие состоится уже в четвертый раз.