Исследователи из Калифорнийского университета в Ирвайне представили атаку Mic-E-Mouse — новый вариант акустической side-channel атаки, который превращает высокоточные оптические мыши в импровизированные “микрофоны”. За счет сверхчувствительности сенсоров с высоким DPI такие устройства улавливают микровибрации поверхности стола, вызванные речью, что позволяет атакующему реконструировать аудиосигнал и распознать произнесенные слова. Как работает атака Mic-E-Mouse: физика, сенсоры и телеметрия … Читать далее

Microsoft вводит важное изменение в экосистеме электронной почты: веб-версия Outlook и новый Outlook для Windows перестанут отображать встроенные SVG-изображения. Поэтапное развертывание началось в начале сентября 2025 года и должно завершиться к середине октября 2025-го. По оценке компании, мера затронет менее 0,1% всех изображений, отправляемых через Outlook, поэтому влияние на обычные сценарии использования будет минимальным. Зачем … Читать далее

В конце сентября 2025 года приложение Neon стремительно поднялось в рейтингах Apple App Store — до второго места по популярности в США — благодаря необычной модели монетизации: сервис платил за запись телефонных разговоров и продавал полученные данные компаниям, работающим с ИИ. Вскоре после взлета журналисты выявили критическую уязвимость, из‑за которой сторонние пользователи могли получить доступ … Читать далее

В конце сентября 2025 года Южная Корея пережила масштабный технологический кризис: два пожара в дата-центрах одного города за неделю парализовали ключевые онлайн-сервисы государства. Одновременно недоступными оказались 647 государственных систем, включая портал госуслуг, налоговые и почтовые платформы. Ситуацию на высшем уровне охарактеризовали как «цифровой паралич». Хронология и масштаб последствий инцидентов в Тэджоне Первый пожар 26 сентября … Читать далее

В популярном сервере figma-developer-mcp (Model Context Protocol, MCP) исправлена критически важная проблема безопасности, позволявшая удаленно выполнять произвольный код. Уязвимость CVE-2025-53967 получила оценку 7,5 по CVSS и затрагивала цепочку обработки запросов к Figma API. По данным Imperva, дефект проявлялся в механизмe резервного обращения к API и мог использоваться для командной инъекции, что особенно опасно в условиях … Читать далее

Команда Anthropic совместно с Институтом безопасности ИИ правительства Великобритании (UK AI Safety Institute), Институтом Алана Тьюринга и рядом академических партнеров показала, что около 250 специально сформированных документов достаточно, чтобы обучаемая модель крупного языка (LLM) начала генерировать бессвязный текст при встрече с определенной триггерной меткой. Речь идет о целенаправленном отравлении обучающих данных, приводящем к отказу модели … Читать далее

Renault и дочерний бренд Dacia уведомили о компрометации персональных данных части клиентов в Великобритании. По данным компании, инцидент произошел у стороннего подрядчика, и собственные ИТ-системы автопроизводителя не были затронуты. Банкoвская и финансовая информация клиентов, как подчеркивает производитель, не пострадала. Что произошло: ключевые факты инцидента Французский автопроизводитель, в штате которого свыше 170 000 сотрудников и годовой … Читать далее

Киберпреступная экосистема вокруг вымогательства продолжает консолидироваться. Группировка Scattered Lapsus$ Hunters заявила о шантаже Red Hat и опубликовала образцы похищенных документов. По данным BleepingComputer, злоумышленники требуют выкуп и угрожают полной публикацией архива, если компания не пойдет на переговоры. Что произошло: компрометация GitLab и данные клиентов На прошлой неделе группа Crimson Collective сообщила о краже 570 ГБ … Читать далее

RondoDox — новый крупный ботнет, зафиксированный исследователями Trend Micro, который целенаправленно атакует интернет-доступные IoT- и сетевые устройства, используя обширный набор известных уязвимостей (n-day) и практикуемых на соревнованиях Pwn2Own эксплойтов. По данным аналитиков, в арсенале оператора уже 56 уязвимостей, охватывающих более 30 вендоров и классов устройств, от DVR/NVR и систем видеонаблюдения до домашних/офисных роутеров и веб-серверов. … Читать далее

Команда безопасности Redis выпустила обновления для устранения критической уязвимости CVE-2025-49844, оцененной в 10,0 по CVSS. Недочет существовал в кодовой базе около 13 лет и связан с ошибкой класса use-after-free, которую можно эксплуатировать через Lua-скриптинг, включенный по умолчанию. Технические детали и вектор атаки Суть проблемы — возможность злоумышленника, имеющего аутентифицированный доступ к экземпляру Redis, выполнить специально … Читать далее