Користувачі Chrome, ви знаєте правило. Чергову вразливість нульового дня браузера-гіганта Google виправлено, і вам терміново потрібно оновити свій браузер.

Google повідомила, що останню вразливість нульового дня — шосту оголошену та виправлену з початку 2025 року — активно експлуатують «в дикій природі», хоча незрозуміло, чи використовується вона широко. Вразливість стала публічно відомою, тому вважається критичною.

Google присвоїла проблемі номер CVE-2025-10585 і випустила виправлення для стабільних версій настільних браузерів (Windows, Mac, Linux) лише через два дні після того, як про неї повідомили до Групи аналізу загроз. Як повідомляє Bleeping Computer, проблема виникла через помилку типізації в JavaScript-движку. Цей тип вразливості неодноразово експлуатувався раніше у Chrome та інших браузерах. Також виправлено три інші високорівневі вразливості, дві з яких виявили незалежні дослідники, які отримали винагороди за знайдені помилки.

Компанія усунула проблему безпеки через день після звіту, випустивши версії 140.0.7339.185/.186 для Windows/Mac та 140.0.7339.185 для Linux, які поступово надходитимуть до настільних ПК протягом наступних тижнів.

Хоча Chrome автоматично оновлюється при появі нових патчів безпеки, ви можете прискорити процес: перейдіть до меню Chrome > Довідка > Про Chrome, дочекайтеся завершення оновлення, а потім натисніть кнопку «Перезапустити», щоб встановити його негайно.

Деталі залишаються обмеженими

Попри те, що Google вже підтвердила використання CVE-2025-10585 в атаках, компанія поки не розкриває додаткових подробиць щодо експлуатації «в дикій природі».

«Доступ до деталей помилки може залишатися обмеженим, доки більшість користувачів не оновиться з виправленням», — зазначила Google. «Ми також збережемо обмеження, якщо помилка існує в сторонній бібліотеці, від якої залежать інші проєкти, але вони ще не виправили її».

Серія вразливостей у 2025 році

Це шоста активно експлуатована вразливість нульового дня Chrome, яку Google виправила цього року. П’ять попередніх було усунуто в березні, травні, червні та липні.

У липні компанія усунула ще одну активно експлуатовану zero-day вразливість (CVE-2025-6558), про яку повідомили дослідники Google TAG. Вона дозволяла зловмисникам вийти за межі захисту «пісочниці» браузера.

У травні Google випустила додаткові екстрені оновлення безпеки для усунення zero-day вразливості Chrome (CVE-2025-4664), що дозволяла зловмисникам захоплювати облікові записи. У червні було виправлено слабкість читання та запису за межами буфера (CVE-2025-5419) у JavaScript-движку V8 Chrome, виявлену Google TAG.

У березні компанія також усунула критичну вразливість (CVE-2025-2783). Ця проблема використовувалася в шпигунських атаках проти урядових організацій та медіавидань.

Користувачі Chrome повинні негайно оновити свій браузер, не чекаючи автоматичного оновлення.

Ця стаття Чергова вразливість нульового дня у Chrome: виправлено шосту проблему 2025 року раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

У SolarWinds пропатчити критичну уразливість 0-day в Serv-U, виявлену Microsoft. Тому компанія наполегливо рекомендує всім клієнтам пропатчити 0-day уразливість в Serv-U, що дозволяє зловмисникам виконати код віддалено.

Ситуація дійсно серйозна, оскільки певне кіберзлочинне угруповання вже використовує баг в реальних атаках. Як повідомляють у SolarWinds, на активну експлуатацію “діри” вказала корпорація Microsoft. Проте поки не вдалося встановити точну кількість уразливих клієнтів.

“Наскільки ми розуміємо, інші продукти не уражені описаним багом “, – уточнює SolarWinds.

Сама уразливість, що отримала ідентифікатор CVE-2021-35211, зачіпає Serv-U Managed File Transfer і Serv-U Secure FTP.

З її допомогою кіберзлочинці можуть виконати код з високими правами, однак є один нюанс: уразливість не можливо використати, якщо у клієнта відключений SSH.

Баг виявила команда Microsoft Threat Intelligence Center (MSTIC), вивчаючи версію Serv-U 15.2.3 HF1, випущену в травні 2021 року. Також стало відомо, що баг зачіпає і попередні релізи.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

FaceTime для Windows: як користуватися – ІНСТРУКЦІЯ

Чому перевірка готовності Вашого ПК до Windows 11 видає неможливість встановлення?

Як безпечно користування соціальними мережами? ПОРАДИ

В Україні поширюється онлайн-грумінг: як захистити Ваших дітей? ПОРАДИ

Що можуть Google та Apple віддалено зробити з Вашим смартфоном?

Як “скинути” рекламний ідентифікатор на Android? ІНСТРУКЦІЯ

До речі, Google видалила з Play Store дев’ять Android-додатків, в цілому завантажених 5,8 млн разів, що, як виявилося, викрадали облікові дані користувачів для авторизації в Facebook.

Щоб виявити, які пристрої “розумного” будинку атакують найбільше, експерти налаштували і підключили до Інтернету уявний “розумний” будинок, що містив різні пристрої – від смарт-телевізорів і термостатів до камер відеоспостереження, принтерів і “розумних” чайників.

Винахідник інтернету сер Тім Бернерс-Лі продав на аукціоні Sotheby’s оригінальний код, за допомогою якого він колись створив Інтернет.

Окрім цього, компанія Apple 30 червня відкрила офіційний офіс в Україні – компанія планує самостійно ввозити техніку в Україну та контролювати магазини офіційних дилерів, які надають послуги компанії в Україні.

Ця стаття У SolarWinds наполягають, щоб клієнти пропатчили нову 0-day уразливість раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Apple виправила уразливість нульового дня в macOS, що використовувалася для зараження шкідливим програмним забезпеченням Shlayer. Завдяки їй шкідник міг обійти перевірку безпеки File Quarantine, Gatekeeper та Notarization та завантажити шкідливі корисні навантаження другого ступеня.

Автори Shlayer раніше встигали завантажити свої зловмисні навантаження за допомогою автоматизованого процесу нотаріального засвідчення від Apple. Якщо вони проходять цю автоматизовану перевірку безпеки, запуск додатків macOS дозволяються Gatekeeper – функцією захисту macOS, яка перевіряє, чи завантажувані програми перевірялись на наявність відомого шкідливого вмісту – для запуску в системі. У минулому Shlayer також використовував прийоми дворічної давнини для ескалації привілеїв та відключення Gatekeeper в macOS для запуску непідписаних корисних навантажень другого ступеня в кампанії. Про це повідомив Bleeping Computer.

Ця уразливість експлуатується в реальності для розгортання різних шкідливих програм на MacOS. Команда виявлення Jamf Protect виявила, що починаючи з січня 2021 р. автори загрози Shlayer, створені непідписаними та ненотаріально завіреними зразками Shlayer, почали використовувати уразливість нульового дня (відстежується як CVE-2021-30657), виявлену та повідомлену Apple інженером з безпеки Седріком Оуенсом.

Як виявив дослідник безпеки Патрік Уордл, ця ​​помилка використовує логічний недолік у тому, як Gatekeeper перевіряв, чи були пакети додатків нотаріально завірені для роботи на повністю виправлених системах macOS.

Уордл додав, що “ця вада може призвести до неправильної класифікації певних програм і, отже, призведе до того, що механізм політики пропустить важливу логіку безпеки, таку як попередження користувача та блокування ненадійної програми”.

На відміну від попередніх варіантів, які вимагали, щоб жертви натискали правою кнопкою миші, а потім відкривали сценарій програми встановлення, останні варіанти шкідливого програмного забезпечення, що зловживають цим нульовим днем ​​і розповсюджуються за допомогою підроблених результатів пошукової системи та скомпрометованих веб-сайтів, можна запускати подвійним клацанням – як звичайний файл або додаток.

Apple випустила оновлення безпеки, щоб виправити цю уразливість у macOS Big Sur 11.3 та заблокувати зловмисні кампанії, які активно зловживають нею. Тепер користувачі отримують попередження про те, що шкідливі програми “не можна відкривати, оскільки розробника неможливо ідентифікувати”, і рекомендують вийняти змонтований образ диска, оскільки він може містити шкідливе програмне забезпечення.

Shlayer – це багатоступеневий троян, який атакував понад 10% усіх комп’ютерів Mac. Дослідницька група Intego вперше помітила Shlayer у лютому 2018 року у зловмисній програмі, яка імітувала інсталятор Adobe Flash Player, так само, як багато інших шкідливих програм, націлених на користувачів macOS. На відміну від оригінальних варіантів, які просувались через торент-сайти, нові зразки Shlayer тепер розповсюджуються за допомогою підроблених спливаючих вікон, що відображаються у захоплених доменах або клонах сайтів, або в масштабних кампаніях з рекламою, яка захаращує нормальні веб-сайти.

Після зараження Mac, Shlayer встановлює проксі-програму mitmdump і надійний сертифікат для аналізу та модифікації трафіку HTTPS, дозволяючи йому контролювати трафік браузера жертв або вводити рекламу та шкідливі сценарії на відвідувані сайти. Навіть гірше, цей метод дозволяє зловмисному програмному забезпеченню змінювати зашифрований трафік, наприклад, Інтернет-банкінг та безпечну електронну пошту.

Хоча автори Shlayer в цей час розгортають лише рекламне програмне забезпечення як вторинне корисне навантаження, вони можуть швидко перейти на більш небезпечні корисні навантаження, такі як програми-вимагачі, у будь-який час. Зокрема, ще одна чергова помилка нульового дня WebKit Storage, яка експлуатується в реальності, відслідковується як CVE-2021-30661, і впливає на пристрої iOS і watchOS,  втручаючись в управління пам’яттю. Уразливість дозволяє зловмисникам виконувати довільний код після відкриття заражених сайтів на пристроях користувачів .

Список уражених пристроїв включає:

• Apple Watch Series 3 та новіших версій;
• iPhone 6s та новіші версії;
• iPad Pro (усі моделі);
• iPad Air 2 та новіші версії;
• iPad 5-го та новішого покоління;
• iPad mini 4 та новіші версії;
• iPod touch (7-го покоління).

Загалом, завдяки сьогоднішнім оновленням безпеки для помилок macOS та iOS, які використовуються в природі, Apple вирішила дев’ять нульових днів з листопада.

Компанія виправила ще три нульові дні iOS – помилку віддаленого виконання коду (CVE-2020-27930), витік пам’яті ядра (CVE-2020-27950) та недолік ескалації привілеїв ядра (CVE-2020-27932) – впливає пристрої iPhone, iPad та iPod (виправлено у листопаді минулого року). У січні Apple виправила помилку в ядрі iOS (відстежується як CVE-2021-1782) та два недоліки безпеки WebKit (відслідковується як CVE-2021-1870 та CVE-2021-1871).

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як увімкнути записування відео HDR на iPhone? ІНСТРУКЦІЯ

Онлайн-шопінг у соцмережах: як не бути ошуканим?

Як правильно вибрати ноутбук? ПОРАДИ

Як безкоштовно надсилати захищені паролем електронні листи? ПОРАДИ

Нагадаємо, дослідники безпеки опублікували в Мережі PoC-експлойт для запуску шкідливого коду в Chrome, Edge, Vivaldi, Opera і інших браузерах на базі Chromium. Уразливість зачіпає JavaScript-движок V8 і вже виправлена в його вихідному коді, але виправлення поки ще не інтегровано ні з кодовою базою Chromium, ні з заснованими на ньому проектами.

Також дослідники виявили безліч уразливостей в популярних додатках, що допускають виконання довільного коду в системах користувачів всього лише за допомогою одного кліка. Саме тому такі баги отримали неформальне ім’я “уразливості одного кліка” (one-click vulnerabilities).

Розробники WhatsApp усунули дві небезпечні уразливості в Android-версії месенджера. Якщо зловмисник задіє ці дві уразливості в атаці, у нього з’явиться можливість виконати шкідливий код і віддалено зламати мобільний пристрій жертви.

Окрім цього, кіберзлочинці атакують уразливі сервери Microsoft Exchange з метою встановлення програмного забезпечення для майнінгу криптовалют у рамках шкідливої ​​кампанії, спрямованої на використання обчислювальних потужностей скомпрометованих систем для заробітку.

Ця стаття Apple виправила уразливість, яку використовував шкідник Shlayer раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Google випустила виправлення для ще однієї активно використовуваної уразливості ( CVE-2021-21193 ) в браузері Chrome. Проблема була виправлена у версії Chrome 89.0.4389.90 для ОС Windows, Mac і Linux.

Фахівці Google описують цю проблему, як уразливість використання після звільнення в движку рендеринга браузера з відкритим вихідним кодом Blink, розробленому проектом Chromium за участю Google, Facebook, Microsoft та інших компаній.

Експлуатація цієї уразливості нульового дня може дозволити зловмиснику виконати довільний код на системах з уразливими версіями Chrome. Незважаючи на те, що Google відомо про активну експлуатації CVE-2021-21193, компанія не ділиться подробицями про поточні кібератаки.

“Доступ до відомостей про проблему і посиланнях може бути обмежений до тих пір, поки більшість користувачів не встановлять виправлення”, – пояснили представники компанії.

Відсутність додаткової інформації також завадить іншим зловмисникам розробляти власні експлойти для zero-day.

Google також виправила дві інші небезпечні проблеми: уразливість використання після звільнення ( CVE-2021-21191 ) в WebRTC і уразливість переповнення буфера купи в групах вкладок ( CVE-2021-21192 ).

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Signal чи Telegram: який додаток кращий для чату?

Топ-7 альтернативних месенджерів на заміну WhatsApp

Як перевірити швидкість з’єднання на Вашому комп’ютері? ІНСТРУКЦІЯ

Обережно, фальшивка! Популярні схеми шахрайства з вакциною від COVID-19

Як перейти на приватну пошукову систему DuckDuckGo? – ІНСТРУКЦІЯ

Як позбутися WhatsApp на Android та iOS? – ІНСТРУКЦІЯ

Як анонімно користуватися Signal або Telegram? ПОРАДИ

Нагадаємо, сінгапурська технологічна компанія Smart Media4U Technology заявила про виправлення уразливостей у додатку SHAREit, які могли дозволити зловмисникам віддалено виконувати довільний код на пристроях користувачів. Помилки безпеки впливають на додаток компанії SHAREit для Android, додаток, який завантажили понад 1 мільярд разів.

Дослідники з компанії Red Canary знайшли нову шкідливу програму, розроблену для атак на комп’ютери Apple Mac. Він отримав назву Silver Sparrow і вже встиг заразити приблизно 30 тис. пристроїв у 153 країнах світу, включаючи США, Великобританію, Канаду, Францію і Німеччину.

Також фахівці у галузі кібербезпеки виявили новий метод атаки, що дозволяє зловмисникам “обдурити” термінал для оплати (POS-термінал) і змусити його думати, що безконтактна картка Mastercard насправді є картою Visa.

Як стало відомо, минулими вихідними стався витік діалогів деяких користувачів Clubhouse. Компанія запевнила, що заблокувала хакера і вживає додаткових заходів безпеки, але розраховувати на приватність і захищеність розмов в соцмережі не варто, попередили експерти.

До речі, нещодавно виявлена ​​фішингова кампанія відзначилася цікавим підходом до крадіжки облікових даних жертви: зловмисники використовують API популярного месенджера Telegram для створення шкідливих доменів.

Ця стаття В Chrome виправили ще одну уразливість нульового дня раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Учасники кіберзлочинного угруповання, що спеціалізується на показі шкідливої ​​реклами, використали уразливість “нульового дня” (zero-day) у движку WebKit. За допомогою бага зловмисники перенаправляли користувачів iOS і macOS на шкідливі сайти, де розгорталася шахрайська схема з подарунковими сертифікатами.

Вперше ці атаки потрапили дослідникам на очі в червні 2020 року, при цьому спроби експлуатації уразливості фіксуються й донині. Відповідні патчі вийшли лише на початку лютого, але не всі користувачі встигли встановити їх, йдеться у звіті компанії Confiant.

Згідно із звітом, за шкідливими кампаніями стоїть угрупування ScamClub. Початок діяльності ScamClub сягає 2018 року, а учасники групи, як правило, купували рекламні місця на багатьох майданчиках, а потім намагалися “підсунути” відвідувачам шкідливі оголошення.

Особливо угруповання цікавили користувачі мобільної операційної системи iOS. Останніх перенаправляли на шкідливі сайти, де у жертви намагалися вивідати платіжну інформацію. Останні атаки з використанням 0-day особливо не відрізнялися за принципом, однак реалізація відзначилася новим підходом.

Наприклад, зловмисники намагалися випустити свій шкідливий код за межі пісочниці, яка утримувала HTML-елемент від взаємодії з основним веб-сайтом. Активна уразливість, яка отримала ідентифікатор CVE-2021-1801, торкалася браузери Safari і Google Chrome для iOS, тому фахівці Confiant відразу повідомили про проблему Apple.

За даними дослідників, за останні 90 днів зловмисники доставили до кінцевих користувачів понад 50 мільйонів рекламних оголошень.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як не стати жертвою кіберзлочину, якщо працюєш вдома? ПОРАДИ

Що таке спуфінг і як запобігти атаці? ПОРАДИ

Чи варто користуватися WhatsApp? П’ять правил безпеки від найбільш розшукуваного хакера світу

Як перенести бесіди з WhatsApp у Telegram на Android? – ІНСТРУКЦІЯ

Як перенести історію чату з WhatsApp у Telegram для iPhone? – ІНСТРУКЦІЯ

Як змінити на Android обліковий запис Google за замовчуванням? – ІНСТРУКЦІЯ

Як дізнатися, які дані Google знає про Вас і видалити їх? – ІНСТРУКЦІЯ

Діяльність одного з найбільших у світі фішингових сервісів для атак на фінансові установи різних країн припинили правоохоронці. Від фішингових атак цього сервісу, який створив та адміністрував 39-річний мешканець Тернопільщини, постраждали 11 країн світу.

Досліднику у галузі кібербезпеки вдалося зламати внутрішні системи понад 35 найбільших компаній, серед яких були Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla та Uber. У цьому фахівцеві допомогла нова атака на ланцюжок поставок софту.

Для обходу захисних поштових шлюзів і фільтрів автори адресних фішингових листів використовують новаторський спосіб приховування шкідливого вмісту сторінки. Теги JavaScript, впроваджувані в HTML-код, шифруються з використанням азбуки Морзе.

Нове сімейство програм-вимагачів під назвою Vovalex поширюється через піратський софт, замаскований під популярні утиліти для Windows – наприклад, CCleaner. Одна цей шифрувальник має певну особливість, що відрізняє його від інших “шкідників” подібного класу.

Ця стаття Хакери перенаправляли користувачів Apple на шкідливі сайти раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Google Project Zero розкрив уразливість “нульового дня” у Windows , спричинену неправильним виправленням CVE-2020-0986  – недоліка безпеки, шо став відомим з кампанії, яка отримала назву Operation PowerFall.

Інформацію про нову уразливість, яку ідентифікують як CVE-2020-17008, повідомили Microsoft ще 24 вересня 2020 року. Відповідно до політики Project Zero, деталі були оприлюднені через 90 днів, 23 грудня, незважаючи на те, що Microsoft пропустила термін виправлення, пише  SecurityWeek.

Попередній баг CVE-2020-0986, який розкрили у травні 2020 року,  став відомим корпорації Microsoft у грудні 2019 року, а виправлення було випущено в червні 2020 року. Атаки з використанням уразливості спостерігалися протягом декількох днів після розкриття інформації. У серпні 2020 року ряд дослідників опублікували інформацію про атаки, що пов’язали CVE-2020-0986 з  уразливістю “нульового дня” ​​в Internet Explorer, як частину кампанії, яка називається Operation PowerFall.

“Використовуючи цю уразливість, можна маніпулювати пам’яттю процесу splwow64.exe, щоб домогтися виконання довільного коду в процесі та вийти за межі “пісочниці” Internet Explorer 11, оскільки splwow64.exe працює із середнім рівнем цілісності”, – пояснили дослідники.

Також помилкою підвищення привілеїв у splwow64.exe, CVE-2020-17008 можна зловживати, просто змінивши метод експлуатації для CVE-2020-0986, довільної вади розшарування вказівника, що впливає на API інтерфейсу друку/друку GDI.

Дослідник Google Project Zero Медді Стоун пояснює, що CVE-2020-17008 насправді майже ідентичний CVE-2020-0986, єдина різниця полягає в тому, що “для CVE-2020-0986 зловмисник використовував вказівник, а тепер зловмисник використовує зміщення”.  Стоун зазначає, що патч Microsoft був несправним, оскільки він просто замінив покажчики на зміщення,  тимчасово не давши змоги зловмиснику контролювати “аргументи до memcpy”.

Дослідник також опублікував код підтвердження концепції (PoC), націлений на CVE-2020-17008, зазначивши, що експлойт є адаптацією попереднього PoC, випущеного для CVE-2020-0986.

“Це запускає вразливість memcpy двічі: спочатку витікає адреса стеку пам’яті, де зберігається повідомлення, і те, до чого додається зміщення, щоб генерувати вказівники, а потім виконується запис”, – говорить Стоун.

Microsoft, яка визнала проблему через день після отримання звіту про вразливість, планувала випустити виправлення в листопаді, але відклала виправлення через проблеми, виявлені під час тестування. В даний час компанія планує усунути цю помилку в січні 2021 року.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як безпечно робити покупки в Інтернеті на новорічні свята? Поради

Як безпечно організовувати і брати участь в онлайн-зустрічах?

Як дізнатися, коли було встановлене основне оновлення Windows 10? ІНСТРУКЦІЯ

Як увімкнути зникаючі повідомлення у WhatsApp? – ІНСТРУКЦІЯ

Топ-15 смартфонів із найшвидшою зарядкою

Зверніть увагу, генеральні прокурори десяти американських штатів подали антимонопольний позов проти Google. Вони звинувачують компанію в змові з Facebook і порушення законодавства про рекламу в Інтернеті.

Окрім цього, три мільйони користувачів стали жертвами шкідливих розширень для браузерів Chrome і Edge. Ці розширення викрадали персональні дані і перенаправляли користувачів на фішингові сайти.

До речі, американська компанія SolarWinds розпочала розслідування кіберінціденту, під час якого зловмисникам вдалося використати продукти SolarWinds в атаках на державні і приватні організації США. Кіберзлочинці змогли скомпрометувати систему збирання софту, яку використовують для моніторингової платформи Orion

Нагадаємо, що iOS 14.3 і iPadOS 14.3 отримали виправлення 11 проблем безпеки, серед яких є настільки серйозні, що зловмисник може виконати код на пристроях iPhone і iPad. Для експлуатації двох найсерйозніших багів хакеру досить використовувати спеціально підготовлений файл шрифту, за допомогою якого можна запустити шкідливий код в системі жертви.

Ця стаття Через неправильний патч у продуктах Microsoft виникла ще одна проблема безпеки раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

У червні нинішнього року компанія Microsoft випустила виправлення для уразливості в Windows, що дозволяє зловмисникам підвищити свої права на скомпрометованій системі до рівня ядра.

Однак патч не спрацював. Проблему, яку кваліфіковані хакери експлуатували ще в травні, до виходу виправлення, як і раніше можна використовувати в атаках (правда, трохи іншим способом) за допомогою нових PoC-експлойтів.

Дослідниця безпеки проекту Google Project Zero Медді Стоун виявила, що червневе виправлення від Microsoft не виправляє уразливість CVE-2020-0986 повністю, і з деякими модифікаціями її все ще можна експлуатувати. З її допомогою зловмисники можуть підвищити свої привілеї до рівня ядра шляхом відправки варіанту не pointer, як раніше, а offset.

Як пояснила Стоун, оригінальна проблема являла собою уразливість довільного розіменування покажчика і забезпечувала атакуючому контроль над покажчиками “src” і “dest” на функцію memcpy. Патч від Microsoft виявився недостатньо ефективним, оскільки міняв покажчики на offset, і атакуючий як і раніше міг контролювати параметри функції.

Дослідниця представила короткий технічний опис експлуатації уразливості, яка тепер отримала ідентифікатор CVE-2020-17008 , і опублікувала PoC-експлойт.

Microsoft отримала повідомлення про нову уразливість 24 вересня і підтвердила проблему днем ​​пізніше, присвоївши їй ідентифікатор CVE-2020-17008. Компанія запланувала випуск патча на листопад 2020 року, але через виявлені на етапі тестування проблем перенесла випуск на 12 сiчня 2021 року.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як безпечно робити покупки в Інтернеті на новорічні свята? Поради

Як безпечно організовувати і брати участь в онлайн-зустрічах?

Як дізнатися, коли було встановлене основне оновлення Windows 10? ІНСТРУКЦІЯ

Як увімкнути зникаючі повідомлення у WhatsApp? – ІНСТРУКЦІЯ

Топ-15 смартфонів із найшвидшою зарядкою

Зверніть увагу, генеральні прокурори десяти американських штатів подали антимонопольний позов проти Google. Вони звинувачують компанію в змові з Facebook і порушення законодавства про рекламу в Інтернеті.

Окрім цього, три мільйони користувачів стали жертвами шкідливих розширень для браузерів Chrome і Edge. Ці розширення викрадали персональні дані і перенаправляли користувачів на фішингові сайти.

До речі, американська компанія SolarWinds розпочала розслідування кіберінціденту, під час якого зловмисникам вдалося використати продукти SolarWinds в атаках на державні і приватні організації США. Кіберзлочинці змогли скомпрометувати систему збирання софту, яку використовують для моніторингової платформи Orion

Нагадаємо, що iOS 14.3 і iPadOS 14.3 отримали виправлення 11 проблем безпеки, серед яких є настільки серйозні, що зловмисник може виконати код на пристроях iPhone і iPad. Для експлуатації двох найсерйозніших багів хакеру досить використовувати спеціально підготовлений файл шрифту, за допомогою якого можна запустити шкідливий код в системі жертви.

Ця стаття Хакери продовжують використовувати “виправлену” уразливість нульового дня в Windows раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Google випустила нову версію свого браузера Chrome 86.0.4240.111, в якій була виправлена активно експлуатована кіберзлочинцями уразливість “нульового дня”.

Уразливість пошкодження пам’яті ( CVE-2020-15999 ).

Атаки з експлуатацією цієї уразливості були виявлені одним з дослідників команди Google Project Zero. Це група аналітиків з питань безпеки, яких винайняла Google та доручила знаходити вразливі місця “нульового дня”.

За словами її керівника Бена Хокса, кіберзлочинці використовують баг в бібліотеці FreeType для атак на користувачів Chrome. Однак він рекомендує виробникам інших додатків, де використовується FreeType, також випустити виправлення на випадок, якщо хакери вирішать переключитися на них.

Патч для уразливості реалізований у версії FreeType 2.10.4, що вийшла 20 жовтня.

Нова версія браузера Chrome повинна бути доступна користувачам всіх десктопних платформ: Windows, Linux, macOS. Оновити додаток можна в налаштуваннях, зайшовши в пункт “Про Google Chrome”.

“Project Zero виявляла і повідомляла уразливість “нульового дня”, яку активно викорситовують, – сказав Бен Хокс, керівник технічної групи дослідницької групи Google “Project Zero. – Хоча ми бачили лише експлойт для Chrome, інші користувачі FreeType повинні прийняти виправлення, про яке йдеться тут: https://savannah.nongnu.org/bugs/?59308 – це виправлення також є у стабільному випуску FreeType 2.10.4″.

Google поки не розкриває подробиці про уразливість, щоб не давати підказок кіберзлочинцям. Як правило, компанія не публікує подробиці про уразливість в своїх продуктах протягом місяців, даючи користувачам достатньо часу на їх виправлення.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Шахрайство, оманливий дизайн, або як торгові сайти змушують Вас витрачати більше?

Найпоширеніші схеми кіберзлочинців та способи захисту від них. Поради

Як користуватися спеціальними піктограмами програм на Вашому iPhone та iPad? – ІНСТРУКЦІЯ

Як перемістити програми з бібліотеки додатків на головний екран на iPhone?– ІНСТРУКЦІЯ

Чим Вам загрожує підключення невідомих USB? Поради із захисту

Як зробити Chrome веб-браузером за замовчуванням на iPhone та iPad? – ІНСТРУКЦІЯ

Кібератаки та шкідливі програми – одна з найбільших загроз в Інтернеті. Дізнайтеся з підбірки статей, як виникло шкідливе програмне забезпечення та які є його види, що таке комп’ютерний вірус, про усі види шкідливого ПЗ тощо.

До речі, дослідники розкрили подробиці про критичну уразливість в додатку Instagram для Android, експлуатація якої дозволяла віддаленим зловмисникам перехопити контроль над цільовим пристроєм шляхом відправки спеціально створеного зображення.

Цікаво знати, що кіберполіція затримала злочинну групу, яка за допомогою скімінгових пристроїв виготовляла дублікати банківських карток. Далі з цих карток знімали готівку. За це зловмисникам загрожує до 12 років ув’язнення.

Також після додавання до свого функціоналу аудіо-твітів для iOS у червні, Twitter зараз експериментує з ідеєю дозволити людям записувати та надсилати голосові повідомлення за допомогою прямих повідомлень.

Важливо знати, що хакерам вдалося обійти захист iOS 14 на пристроях, що базуються на процесорі Apple A9.

Ця стаття В Chrome виправили уразливість “нульового дня” раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Хакерська група, відома як автори джейлбрейка unc0ver, випустила нову версію програмного забезпечення, яка може розблокувати (майже) будь-який iPhone, у тому числі з останньою версією iOS 13.5.

Про це пише TheHackerNews.

Заявляючи це, першим джейлбрейком з “нульовим днем”, який вийде з моменту випуску iOS 8, провідний розробник unc0ver, що ховається під нікнеймом Pwn20wnd, заявив:

“Будь-який інший джейлбрейк, випущений з моменту iOS 9, використовував   експлойти “першого дня”, які звичайно виправлялися  в наступній бета-версії iOS або апаратно”.

Група не вказала, яку вразливість в iOS вона використовувала для розробки останньої версії джейлбрейка. Розробники unc0ver також підкреслили, що вони проводили широке тестування, яке забезпечило сумісність для широкого кола пристроїв – від старих, але ще деінде популярних iPhone 6S до нових моделей iPhone 11 Pro Max, на яких встановлені  версії iOS від 11.0 до 13.5, але виключаючи версії 12.3 – 12.3. 2 та 12.4.2 – 12.4.5.

Згідно з даними unc0ver, оскільки джейлбрейк використовує виключення у системі “пісочниці”, статус її безпеки залишається недоторканим при наданні доступу до файлів джейлбрейка”, тобто встановлення нового джейлбрейка, ймовірно, не поставить під загрозу захист “пісочниці” iOS.

Джейлбрейк, аналогічний “рутуванню” в Android на Google, – це перевищення привілеїв користувача, яке працює завдяки використанню недоліків в iOS, щоб надати користувачам кореневий доступ та повний контроль над своїми пристроями. Це дозволяє користувачам iOS знімати обмеження програмного забезпечення, накладені Apple, тим самим дозволяючи доступ до додаткових налаштувань або встановлення заборонених програм.

ДО РЕЧІ:

https://cybercalm.org/haker-cherez-mesendzher-prodavav-zakryti-bazy-danyh-za-pivtory-tysyachi-gryven/

Але це також послаблює безпеку пристрою, відкриваючи двері для всіляких атак зловмисних програм. Додаткові ризики для безпеки в поєднанні зі стійким блокуванням апаратного та програмного забезпечення Apple ускладнюють ці заняття для пересічних користувачів – як мінімум, навряд чи хтось захоче втрачати гарантію на смартфон.

Крім того, джейлбрейки, як правило, дуже специфічні та засновані на раніше розкритих вразливостях операційної системи.  Тому процес зламу залежить від моделі iPhone та версії iOS, щоб успішно відтворити процедури на кожному смартфоні.

Розробка цього джейлбрейка розпочалася, коли відомий брокер ​​Zerodium (який скуповував виявлені хакерами уразливості, а потім продавав їх іншим хакерам), заявив, що більше не буде купувати вразливості iOS RCE протягом наступних кількох місяців, посилаючись на “велику кількість заявок, пов’язаних з цими напрямками роботи”.

У серпні минулого року Pwn20wnd використовував недолік SockPuppet (CVE-2019-8605), виявлений Недом Вільямсоном, щоб випустити публічну версію джейлбрейка, завдяки чому вперше було розблоковано сучасну прошивку за останні кілька років – після того, як Apple випадково знову допустила попередньо виправлену вразливість в iOS 12.4. Пізніше компанія випустила патч для iOS 12.4.1 для усунення вразливості ескалації привілеїв.

Тоді у вересні один з неназваних дослідників кібербезпеки опублікував опис постійного самозавантажуваного експлойта (і він не піддавався виправленням), що отримав назву checkm8, який міг би бути використаний для джейлбрейка всіх типів мобільних пристроїв Apple, випущених між 2011 та 2017 роками, включаючи iPhone, iPad, Apple Watches та Apple TV.

Незважаючи на те, що новий джейлбрейк використовує ще невідому уразливість “нульового дня”, виробник iPhone, ймовірно, випустить оновлення безпеки протягом найближчих тижнів, щоб виправити недолік, який використовує unc0ver. Новий джейлбрейк Unc0ver 5.0.0 можна встановити з пристроїв iOS, macOS, Linux та Windows.

НА ЗАМІТКУ:

https://cybercalm.org/chomu-3syqo15hil-stav-odnym-iz-najpopulyarnishyh-paroliv/

Також радимо звернути увагу на поради, про які писав Cybercalm, а саме:

“БАТЬКІВСЬКИЙ КОНТРОЛЬ” У WINDOWS 10: ЯК НАЛАШТУВАТИ?

ЯК ОБМЕЖИТИ ЕКРАННИЙ ЧАС У WINDOWS 10? – ІНСТРУКЦІЯ

ЯК ЗАХИСТИТИ GOOGLE ДИСК ЗА ДОПОМОГОЮ TOUCH ID АБО FACE ID?

ЯК ОЧИСТИТИ ІСТОРІЮ В УСІХ МОБІЛЬНИХ БРАУЗЕРАХ? ІНСТРУКЦІЯ

Нагадаємо, з’явився новий модульний бекдор, який використовує група кіберзлочинців Winnti для атак на розробників масових мережевих онлайн-ігор (ММО). Щонайменше в одній із компаній-розробників ігор зловмисники скомпрометували сервер управління збіркою, що дозволило їм отримати контроль над автоматизованими системами збірки.

Також група німецьких і італійських вчених розробили нову атаку, що дозволяє обійти поділ між технологіями Wi-Fi і Bluetooth, використовуваними на одному пристрої (смартфоні, ноутбуках і планшетах). Атака, що отримала назву Spectra, працює на “комбінованих” чипах, що обробляють різні види бездротового зв’язку, в тому числі Wi-Fi, Bluetooth, LTE тощо.

Окрім цього, зловмисники постійно удосконалюють свій інструментарій та знаходять нові способи інфікування великої кількості пристроїв. Одним із розповсюджених методів проникнення шкідливих програм на комп’ютери жертв стало використання експлойтів, які забезпечують швидке поширення загрози.

Зверніть увагу, компанія Microsoft дещо вдосконалить набір своїх функцій доступності для Windows 10.  Зокрема, розробники спеціально зосередилися на тому, щоб текстовий курсор було легше бачити та слідкувати за ним за допомогою вбудованої функції лупи.

До речі, у фірмовому месенджері від Google може з’явитися наскрізне шифрування. Принаймні користувачі сайту 9to5Google виявили у месенджері Google Messages кілька рядків відповідного коду.

Ця стаття Хакери заявили, що тепер можуть розблокувати будь-який iPhone раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим