Злоумышленники нашли способ доставлять фишинговые уведомления, замаскированные под квитанции о покупках, через приглашения iCloud Calendar. Письма исходят с инфраструктуры Apple (адрес [email protected]) и проходят проверки SPF, DKIM и DMARC, что существенно повышает их доставляемость и снижает вероятность блокировки антиспам-системами. Рассылка «квитанций» через iCloud Calendar: как работает атака По данным BleepingComputer, один из примеров включал «квитанцию» … Читать далее

Google выпустила обновление безопасности для Chrome, закрыв критическую уязвимость типа use-after-free в компоненте ServiceWorker с идентификатором CVE-2025-10200. По программе bug bounty исследователь Лубен Янг (Looben Yang) получил $43 000 за обнаружение и ответственное раскрытие. Одновременно устранена ещё одна ошибка — CVE-2025-10201 в Mojo, за которую выплачено $30 000 Сахану Фернандо и анонимному специалисту. Критическая ошибка … Читать далее

Исследователи Wiz проанализировали цепочку поставок, скомпрометированную в результате атаки s1ngularity на платформу сборки NX, и зафиксировали масштабные последствия для экосистемы JavaScript/TypeScript. По их данным, инцидент затронул 2180 учетных записей и привел к раскрытию содержимого 7200 репозиториев, а часть украденных секретов остается действующей. NX — популярная опенсорсная платформа для управления монорепозиториями и автоматизации сборок, позиционируемая как … Читать далее

Google объявила о внедрении технологии Content Credentials по стандарту C2PA в приложение камеры Pixel 10 и сервис Google Photos. Цель — помочь пользователям отличать подлинные фотографии от изображений, созданных или измененных с помощью ИИ, и повысить прозрачность происхождения медиаконтента. Что такое Content Credentials и как они работают Content Credentials — это набор машиночитаемых метаданных, фиксирующих … Читать далее

Бывший сотрудник WhatsApp Аттаулла Баиг подал иск к материнской компании Meta (организация признана экстремистской и запрещена на территории РФ), утверждая, что его увольнение в феврале 2025 года последовало после неоднократных попыток привлечь внимание руководства к системным проблемам кибербезопасности. Иск подан по закону Сарбейнса‑Оксли, который защищает информаторов, сообщающих о потенциальном введении в заблуждение акционеров и нарушениях … Читать далее

На прошлой неделе выяснилось, что удостоверяющий центр Fina без согласования с Cloudflare выпустил 12 TLS‑сертификатов на IP‑адрес 1.1.1.1 — публичный DNS‑резолвер Cloudflare. Сертификаты датированы периодом с февраля 2024 по август 2025 года и были замечены благодаря публикациям в журналах Certificate Transparency и обсуждению в рассылке Mozilla dev-security-policy. Cloudflare признала выпуск неправомерным. Что именно произошло: цепочка … Читать далее

На фоне громких заголовков о якобы «массовом предупреждении» для 2,5 млрд пользователей Gmail, компания Google официально заявила: никакого широкомасштабного сброса паролей и экстренного уведомления для всех аккаунтов не производилось. Распространенные в СМИ утверждения о серьезной утечке данных в Gmail признаны недостоверными. Что стало поводом: слухи, фишинг и упоминания третьих сторон Публикации в медиа связывали несуществующее … Читать далее

Google опубликовала сентябрьский пакет обновлений безопасности Android, закрыв 120 уязвимостей в системе и компонентах экосистемы. Компания подтверждает, что как минимум две из них — CVE-2025-38352 (повышение привилегий в Linux Kernel) и CVE-2025-48543 (повышение привилегий в Android Runtime) — уже применялись в ограниченных целевых атаках, не требующих участия пользователя. Что исправлено: фокус на 0‑day и критические … Читать далее

Обновление безопасности Windows за август 2025 года (KB5063878) и последующие релизы привели к росту неожиданных запросов User Account Control (UAC) и ошибкам при установке приложений в средах без прав администратора. По данным Microsoft, изменения связаны с устранением уязвимости повышения привилегий в Windows Installer — CVE-2025-50173, которая позволяла аутентифицированному злоумышленнику получить права уровня SYSTEM. Что изменилось … Читать далее

Специалисты ESET, обнаружившие в конце августа 2025 года на VirusTotal образцы PromptLock, подтвердили: это не «дикая» атака, а академический прототип, разработанный командой исследователей инженерной школы Тандон при Нью-Йоркском университете (NYU Tandon). Тем не менее ESET сохраняет первоначальную оценку: PromptLock — первый известный образец вымогателя, использующего технологии ИИ, и показанный принцип может быстро мигрировать из лаборатории … Читать далее