Google оприлюднила стабільні оновлення безпеки для Google Chrome, усунувши критичну вразливість CVE-2025-10200 у компоненті ServiceWorker, а також помилку CVE-2025-10201 у фреймворку Mojo. За відповідальне розкриття першої проблеми дослідник Лубен Янг (Looben Yang) отримав $43 000, друга оцінена в $30 000 і присуджена Сахану Фернандо та анонімному фахівцю. ServiceWorker і CVE-2025-10200: як use-after-free може призвести до … Read more

Дослідження Wiz показує, що компрометація платформи збірки NX внаслідок атаки s1ngularity спричинила суттєві збої в екосистемі JavaScript/TypeScript. За їхніми даними, інцидент торкнувся 2180 облікових записів, розкрив вміст 7200 репозиторіїв, а частина викрадених секретів лишається чинною, зберігаючи ризики для організацій. Компрометація NX: масштаби інциденту в екосистемі JavaScript/TypeScript NX — популярний інструмент для монорепозиторіїв і автоматизації збірок, … Read more

Google оголосила про інтеграцію Content Credentials за стандартом C2PA у камеру Pixel 10 та сервіс Google Photos. Мета — забезпечити користувачам прозоре походження знімків і відрізняти автентичні фото від контенту, створеного або зміненого ШІ, надійно фіксуючи історію змін у метаданих із криптографічним захистом. Що таке C2PA Content Credentials і чому це важливо для безпеки Content … Read more

Колишній співробітник WhatsApp Аттаулла Баіг подав позов до Meta, стверджуючи, що його звільнення у лютому 2025 року сталося після неодноразових спроб привернути увагу керівництва до системних проблем кібербезпеки. Позов подано за законом Сарбейнса‑Окслі (SOX), який захищає викривачів, що повідомляють про можливе введення акціонерів в оману та порушення правил SEC. Суть позову: широкі інженерні доступи та … Read more

У відкритих журналах Certificate Transparency було виявлено 12 TLS‑сертифікатів, випущених підпорядкованим центром Fina RDC 2020 для IP‑адреси 1.1.1.1 — публічного DNS‑резолвера Cloudflare. Сертифікати датовано з лютого 2024 по серпень 2025 року. Cloudflare підтвердила, що випуск відбувся без її згоди та є неправомірним; інцидент активно обговорювався в списку розсилки Mozilla dev-security-policy. Ланцюг довіри: чому Windows могла … Read more

На тлі гучних заголовків про нібито «масове попередження для 2,5 млрд користувачів Gmail» компанія Google офіційно підтвердила: жодного широкомасштабного скидання паролів або екстрових сповіщень для всіх акаунтів не проводилося. Поширені твердження про «витік даних у Gmail» не відповідають дійсності та ґрунтуються на некоректних інтерпретаціях. Чутки, фішинг і треті сторони: звідки взявся інформаційний шум Публікації у … Read more

Google оприлюднила вересневий пакет оновлень безпеки Android, у якому усунула 120 уразливостей у системі та компонентах екосистеми. Компанія підтвердила факт цільової експлуатації щонайменше двох помилок — CVE-2025-38352 у Linux kernel і CVE-2025-48543 в Android Runtime. Обидві використовувалися в обмежених атаках без взаємодії користувача. 0‑day в ядрі та Android Runtime: що саме виправлено CVE-2025-38352 стосується стану … Read more

Серпневе оновлення безпеки Windows 2025 (KB5063878) і подальші релізи змінили базову модель взаємодії User Account Control (UAC) із Windows Installer (MSI). Після усунення уразливості підвищення привілеїв CVE-2025-50173 системи частіше запитують облікові дані адміністратора, а інсталяції в користувацькому контексті можуть завершуватися помилками. Мета змін — перекрити вектор отримання прав SYSTEM через механізми «самовідновлення» MSI. Що саме … Read more

Наприкінці серпня 2025 року аналітики ESET виявили на VirusTotal зразки PromptLock і підтвердили їхнє академічне походження: прототип розробила команда дослідників інженерної школи NYU Tandon. Попри це фахівці зберігають початкову оцінку: PromptLock — перший відомий зразок криптовимагача, що використовує технології штучного інтелекту, а продемонстрований підхід потенційно може швидко перейти від теорії до практики. Що таке PromptLock … Read more

5 вересня Salesloft оголосила про тимчасове відключення платформи Drift на тлі масштабної атаки на ланцюг постачання, унаслідок якої з інтеграцій було викрадено OAuth‑ та refresh‑токени клієнтів. Компанія пояснює крок необхідністю провести повноцінний форензик‑аналіз і посилити безпеку перед відновленням сервісів. Що сталося: компрометація інтеграцій Drift і чому це критично Інцидент зачепив Salesloft Drift — платформу, що … Read more