Google випустив оновлені версії браузера Chrome, в яких усунено 8 уразливостей із високим рівнем ризику. Оновлення охоплює настільні платформи та Android. За даними компанії, жодна з виявлених проблем наразі не експлуатується зловмисниками.

Які версії отримали виправлення

Для Windows та macOS доступна версія 146.0.7680.164/165, для Linux — 146.0.7680.164. Користувачі Android можуть оновитися до версії 146.0.76380.164. Розширений стабільний канал (Extended Stable Channel) для Windows та macOS отримав версію Chromium 146.0.7680.165. Вихід наступної основної версії Chrome 147 заплановано на кінець березня — початок квітня.

Що за уразливості було виправлено

Усі 8 уразливостей (від CVE-2026-4673 до CVE-2026-4680) отримали статус high risk — тобто високого ризику. Серед них — buffer overflow (переповнення буфера), use-after-free (звернення до вже звільненої пам’яті) та інші типи несанкціонованого доступу до пам’яті.

Уразливості стосуються кількох ключових компонентів браузера:

• WebAudio — двічі
• CSS
• WebGL
• WebGPU
• Fonts

Більшість проблем виявили сторонні дослідники з кібербезпеки та повідомили про них Google. Детальний перелік уразливостей опублікував у блозі Chrome Releases інженер Google Срінівас Сіста. Примітно, що на відміну від минулого року, компанія тепер також документує уразливості, виявлені власними фахівцями.

Як оновити Chrome

Зазвичай Chrome оновлюється автоматично при запуску. Щоб перевірити наявність оновлення вручну, слід перейти до меню Довідка → Про Google Chrome — браузер самостійно перевірить і встановить актуальну версію.

Ця стаття Google Chrome закрив 8 критичних уразливостей — оновлення доступне для Windows, macOS, Linux та Android раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Штучний інтелект, що “насправді виконує завдання”, стрімко набирає популярності в інтернеті. Проте експерти з кібербезпеки застерігають: використання Moltbot без належних запобіжних заходів може коштувати вам контролю над цифровим життям.

Що таке Moltbot

Moltbot — це AI-агент з відкритим кодом, створений австрійським розробником Пітером Штайнбергером. Раніше проєкт називався Clawdbot, але після юридичної претензії від Anthropic отримав нову назву. Симпатичний ракоподібний асистент позиціонує себе як “штучний інтелект, що справді діє” — він керує електронною поштою, надсилає повідомлення і навіть виконує дії від вашого імені, зокрема реєструє на авіарейси.

За кілька днів проєкт отримав близько 100 000 зірок на GitHub, ставши одним із найшвидше зростаючих AI-проєктів. Але блискавична популярність приховує небезпечні уразливості, які можуть коштувати вам приватності та безпеки даних.

Агент встановлюється на комп’ютері користувача і спілкується через месенджери: iMessage, WhatsApp та Telegram. Система пропонує понад 50 інтеграцій, плагінів та навичок, має постійну пам’ять і може контролювати як браузер, так і всю систему повністю. Замість власної AI-моделі Moltbot використовує потужності Claude від Anthropic та ChatGPT від OpenAI.

За кілька днів проєкт став вірусним. На GitHub він отримав близько 100 000 зірок і сотні контриб’юторів, увійшовши до найшвидше зростаючих AI-проєктів з відкритим кодом на платформі.

Чому Moltbot небезпечний: п’ять критичних загроз

1. Вірусна популярність приваблює шахраїв

Відкритий код дає переваги: прозорість, можливість аудиту безпеки, активна спільнота. Проте блискавична популярність створює умови для зловмисників. Уже з’явилися фальшиві репозиторії та криптовалютні шахрайства. Скориставшись зміною назви, шахраї запустили підроблений токен Clawdbot AI, який зібрав $16 мільйонів перед обвалом.

Рекомендація: використовуйте лише перевірені офіційні репозиторії проєкту.

2. Повний доступ до вашого цифрового простору

Щоб Moltbot працював як автономний асистент, йому потрібно надати доступ до облікових записів і системні дозволи. Документація проєкту відверто визнає: повністю безпечної конфігурації не існує.

Cisco називає Moltbot “абсолютним кошмаром” з точки зору безпеки. Автономність бота базується на дозволах виконувати команди оболонки, читати та записувати файли, запускати скрипти і виконувати обчислювальні завдання. Неправильна конфігурація або зараження шкідливим ПЗ може призвести до витоку даних.

Дослідники Cisco повідомляють: “Moltbot вже фіксували витік API-ключів та облікових даних у відкритому вигляді. Їх можуть викрасти зловмисники через промпт-ін’єкції або незахищені кінцеві точки. Інтеграція з месенджерами розширює поверхню атаки — зловмисники можуть створювати шкідливі промпти, що спричиняють небажану поведінку системи”.

3. Оприлюднені облікові дані

Джеймісон О’Рейллі, дослідник offensive security та засновник Dvuln, моніторив Moltbot і виявив незахищені екземпляри, підключені до інтернету без автентифікації. Серед сотень інстанцій деякі не мали жодного захисту, що призвело до витоку API-ключів Anthropic, токенів Telegram-ботів, OAuth-даних Slack і таємних ключів підпису, а також історії розмов.

Розробники негайно впровадили нові заходи безпеки, проте користувачі повинні самостійно впевнитися в правильності налаштувань.

4. Атаки через промпт-ін’єкції

Prompt injection — це головний біль експертів з кібербезпеки в епоху AI. Рахул Суд, CEO Irreverent Labs, заявив, що модель безпеки Moltbot “лякає до смерті”.

Цей вектор атаки передбачає, що AI-асистент прочитає і виконає шкідливі інструкції, приховані, наприклад, у веб-контенті чи URL-адресах. AI-агент може злити конфіденційні дані, надіслати інформацію на сервери зловмисників або виконати завдання на вашій машині — якщо має відповідні привілеї.

Суд коментує: “Незалежно від того, де ви запускаєте агента — у хмарі, на домашньому сервері чи Mac Mini в шафі — пам’ятайте: ви надаєте доступ не просто боту. Ви даєте доступ системі, яка читатиме контент із джерел, які ви не контролюєте. Шахраї по всьому світу радіють, готуючись зруйнувати ваше життя”.

Як зазначає документація Moltbot, проблема промпт-ін’єкцій залишається невирішеною для всіх AI-асистентів. Існують способи зменшити загрозу, але поєднання широкого системного доступу зі шкідливими промптами виглядає як рецепт катастрофи.

“Навіть якщо лише ви можете писати боту, промпт-ін’єкція може статися через будь-який ненадійний контент, який читає бот: результати веб-пошуку, сторінки браузера, електронні листи, документи, вкладення, вставлені логи чи код”, — попереджає документація. “Іншими словами: відправник — не єдина поверхня загрози; сам контент може містити ворожі інструкції”.

5. Шкідливі навички та розширення

Дослідники з кібербезпеки вже виявили шкідливі скіли для Moltbot. 27 січня розширення VS Code під назвою “ClawdBot Agent” було позначено як зловмисне. Насправді це повноцінний троян, що використовує програмне забезпечення віддаленого доступу для стеження та крадіжки даних.

Хоча Moltbot не має офіційного розширення VS Code, цей випадок демонструє, як зростаюча популярність агента породжуватиме хвилю шкідливих розширень і навичок. Випадкове встановлення такого компонента може відкрити двері для компрометації всієї системи.

Щоб продемонструвати проблему, О’Рейллі створив безпечний, але бекдорний скіл і оприлюднив його. За короткий час його завантажили тисячі разів.

Висновок

Інноваційні AI-агенти мають цінність і можуть стати частиною нашого майбутнього. Moltbot може бути першою ітерацією того, як штучний інтелект інтегрується в повсякденне життя. Проте надзвичайно важливо зберігати обережність і не ставити зручність вище особистої безпеки. Використання AI-асистентів з високим рівнем автономності та доступом до облікових записів вимагає виваженого підходу та розуміння всіх ризиків.

Ця стаття Небезпечний Moltbot — 5 червоних прапорців, які не варто ігнорувати раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Microsoft випустила екстрене оновлення для виправлення високоризикової уразливості в Office, яка активно експлуатується зловмисниками як zero-day. Вразливість дозволяє атакуючим обходити захисні механізми та виконувати шкідливе ПЗ на комп’ютерах жертв.

Відомство кібербезпеки США (CISA) вже додало цю вразливість до каталогу Known Exploited Vulnerabilities (KEV), що свідчить про активні атаки в реальному світі. Проте Microsoft не розкрила, хто стоїть за атаками та хто став жертвами.

Що відомо про уразливість CVE-2026-21509

Помилка класифікується як security bypass flaw. За поясненням National Vulnerability Database (NVD), Microsoft Office приймав рішення щодо безпеки на основі ненадійних вхідних даних. Зловмисники експлуатували цю слабкість для виконання malware, крадіжки облікових даних та латерального переміщення мережею.

Вразливість отримала оцінку серйозності 7.8/10 (високий рівень). “Це оновлення усуває вразливість, яка обходить OLE-захист в Microsoft 365 та Microsoft Office, що захищають користувачів від вразливих COM/OLE контролів”, — йдеться в порадах Microsoft з безпеки.

Як встановити патч

Користувачі Office 2021 та новіших версій не повинні робити нічого, окрім перезапуску Office-додатків — патч буде встановлений на стороні сервера автоматично.

Для користувачів Office 2016 та 2019 необхідно встановити такі оновлення:

• Microsoft Office 2019 (32-bit edition) – 16.0.10417.20095
• Microsoft Office 2019 (64-bit edition) – 16.0.10417.20095
• Microsoft Office 2016 (32-bit edition) – 16.0.5539.1001
• Microsoft Office 2016 (64-bit edition) – 16.0.5539.1001

Альтернативні методи захисту

Якщо з якоїсь причини ви не можете встановити патчі, Microsoft рекомендує внести зміни до реєстру Windows як тимчасове рішення. Детальну покрокову інструкцію компанія опублікувала в офіційному бюлетені безпеки.

Оскільки атаки вже відбуваються, експерти з кібербезпеки радять негайно встановити оновлення. Невідомо, чи призвели поточні атаки до значних крадіжок даних або ransomware-інцидентів, але затримка з патчем може мати серйозні наслідки для організацій.

Ця стаття Microsoft виправила критичну вразливість Office — оновіть зараз раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Організація Shadowserver, що відстежує безпеку інтернету, виявила понад 25 тисяч пристроїв Fortinet з увімкненою функцією FortiCloud SSO, які залишаються доступними онлайн на тлі активних атак, що експлуатують критичну вразливість обходу автентифікації.

Активна експлуатація критичної вразливості

9 грудня компанія Fortinet випустила патч для усунення вразливостей CVE-2025-59718 (FortiOS, FortiProxy, FortiSwitchManager) та CVE-2025-59719 (FortiWeb). Виробник зазначив, що вразлива функція входу через FortiCloud SSO не активується до моменту реєстрації пристрою в сервісі підтримки FortiCare.

У понеділок компанія з кібербезпеки Arctic Wolf повідомила, що вразливість активно експлуатується для компрометації адміністративних облікових записів через шкідливі запити єдиного входу (SSO).

Як працює атака

Зловмисники використовують цю вразливість у незахищених продуктах, надсилаючи спеціально сформоване SAML-повідомлення для отримання адміністративного доступу до вебінтерфейсу управління та завантаження файлів конфігурації системи. Ці конфіденційні файли розкривають потенційно вразливі інтерфейси, хешовані паролі (які зловмисники можуть розшифрувати), сервіси з доступом до інтернету, мережеву топологію та політики міжмережевого екрану.

Масштаб проблеми: понад 25 тисяч відкритих пристроїв

Сьогодні Shadowserver повідомила про відстежування понад 25 тисяч IP-адрес з активним FortiCloud SSO — понад 5400 у США та майже 2000 в Індії. Проте наразі немає інформації про те, скільки з них захищені від атак, що експлуатують вразливості CVE-2025-59718 та CVE-2025-59719.

Дослідник загроз компанії Macnica Ютака Сейяма повідомив виданню BleepingComputer, що його сканування виявило понад 30 тисяч пристроїв Fortinet з увімкненим FortiCloud SSO, які також мають відкритий доступ до вебінтерфейсів управління.

«Враховуючи, як часто вразливості адміністративного GUI FortiOS експлуатувалися раніше, дивує, що стільки адміністративних інтерфейсів досі залишаються загальнодоступними», — зазначив Сейяма.

CISA вимагає термінового патчу

У вівторок Агентство з кібербезпеки та безпеки інфраструктури США (CISA) додало вразливість обходу автентифікації FortiCloud SSO до свого каталогу активно експлуатованих вразливостей. Федеральні агентства США зобов’язані встановити патч протягом тижня — до 23 грудня, відповідно до Обов’язкової оперативної директиви 22-01.

Fortinet у фокусі кіберзлочинців

Вразливості Fortinet регулярно експлуатуються групами кібершпигунства, кіберзлочинності та програм-вимагачів, часто як zero-day вразливості.

Наприклад, у лютому Fortinet повідомив, що відома китайська хакерська група Volt Typhoon експлуатувала дві вразливості FortiOS SSL VPN (CVE-2023-27997 та CVE-2022-42475) для встановлення бекдору в військову мережу Міністерства оборони Нідерландів, використовуючи спеціальне шкідливе ПЗ віддаленого доступу Coathanger.

Нещодавно, у листопаді, Fortinet попередив про zero-day вразливість FortiWeb (CVE-2025-58034), яка експлуатується в реальних умовах. Це сталося через тиждень після підтвердження компанією, що вона мовчки виправила іншу zero-day вразливість FortiWeb (CVE-2025-64446), яка використовувалася в масштабних атаках.

Ця стаття Понад 25,000 пристроїв Fortinet під загрозою віддалених атак раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Серйозна уразливість нульового дня в широко використовуваному програмному забезпеченні серверів SharePoint від Microsoft була використана хакерами, спричинивши хаос у бізнес-структурах та урядових агентствах, повідомили численні джерела.

Microsoft оголосила про випуск нового патча безпеки “для пом’якшення активних атак, спрямованих на локальні [а не онлайн] сервери”, але порушення вже вплинуло на університети, енергетичні компанії, федеральні та державні агентства й телекомунікаційні фірми.

Недолік SharePoint є серйозним, дозволяючи хакерам отримувати доступ до файлових систем та внутрішніх конфігурацій або навіть виконувати код для повного захоплення систем. Ця вразливість може загрожувати понад 10 000 компаніям, повідомила кібербезпекова компанія Censys виданню The Washington Post. “Це мрія для операторів програм-вимагачів, і багато зловмисників працюватимуть також і цих вихідних”. Група розвідки загроз Google додала, що вразливість дозволяє “постійний, неавтентифікований доступ, який може обійти майбутні патчі”.

Агентство кібербезпеки та безпеки інфраструктури США (CISA) заявило, що всі сервери, які постраждали від експлойту, слід відключити від інтернету до випуску повного патча. Агентство додало, що вплив атак досі досліджується.

Уразливість вперше помітила Eye Security, яка заявила, що недолік дозволяє хакерам отримувати доступ до серверів SharePoint та красти ключі для видавання себе за користувачів або служби. “Оскільки SharePoint часто підключається до основних служб, таких як Outlook, Teams та OneDrive, порушення може швидко призвести до крадіжки даних, збору паролів та бічного переміщення по мережі”, — написала Eye Security у блозі.

ФБР знає про атаку та тісно співпрацює з урядовими та приватними партнерами. Поки що неясно, які саме групи стоять за хаками нульового дня. У будь-якому випадку, ця атака може знову поставити Microsoft під пильну увагу. Порушення Exchange Online поштових скриньок у 2023 році змусило Раду з огляду кібербезпеки Білого дому заявити, що культура безпеки Microsoft є “неадекватною”.

Ця стаття Уразливість серверів Microsoft SharePoint загрожує приблизно 10 000 організацій раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Вчора Apple випустила iOS 18.3.1, iPadOS 18.3.1 та iPadOS 17.7.5, щоб вирішити проблему експлойту нульового дня, який може дозволити зловмисникам отримати доступ до даних на заблокованому пристрої.

Ця вразливість могла дозволити зловмиснику обійти режим обмеженого доступу USB (USB Restricted Mode) на заблокованому пристрої через фізичну атаку, що потенційно надавало б доступ до даних пристрою.

Нове оновлення виправляє проблему безпеки, покращуючи управління станами авторизації. Початковий захист був запроваджений в пристрої з випуском iOS 11.4.1 у 2018 році, щоб запобігти спробам обійти парольні коди пристрою та гарантії шифрування, які захищають дані користувача. За словами Apple, експлойт, про який повідомив Білл Марчак з The Citizen Lab при Університеті Торонто, «можливо, був використаний у надзвичайно витонченій атаці на конкретних цільових осіб».

Оновлення доступне для iPhone XS та новіших моделей, а також деяких моделей iPad, зокрема: iPad Pro 13-дюймовий, iPad Pro 12.9-дюймовий (3-го покоління та новіші), iPad Pro 11-дюймовий (1-го покоління та новіші), iPad Air (3-го покоління та новіші), iPad (7-го покоління та новіші) та iPad mini (5-го покоління та новіші).

Читайте також: 10 речей, які ви не знали, що ваш iPhone може зробити для вас

Apple зазвичай зберігає інформацію про вразливості в таємниці до випуску виправлень, тому невідомо, як довго ця проблема існувала. Останнє оновлення є продовженням попередніх виправлень режиму обмеженого доступу USB і працює разом із новою функцією в iOS 18, яка перезавантажує пристрої після кількох днів бездіяльності, вимагаючи повторного введення пароля.

Характер атаки свідчить про те, що зловмисник повинен був фізично підключитися до пристрою жертви, використовуючи спеціальні інструменти. Хоча невідомо, хто були нападники чи жертви, відомо, що існують інструменти для розблокування iPhone. Такі компанії, як Cellebrite та GrayKey, створюють криміналістичні інструменти, які використовуються правоохоронними органами для розблокування iPhone.

Ймовірно, пристрої, які стали ціллю атаки, зазнали дуже складного типу атаки, схожого на ті, які використовують подібні компанії. Це оновлення може також ускладнити доступ для правоохоронців, які намагаються розблокувати iPhone злочинців, але це лише припущення, оскільки точні деталі виправлення не були розкриті.

Ця стаття Apple знову випускає оновлення безпеки для блокування інструментів злому пароля iPhone раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Check Point Research, дослідницький підрозділ Check Point Software Technologies Ltd., провідного постачальника рішень в галузі кібербезпеки, виявила уразливість системи безпеки в функції фільтрації зображень WhatsApp.

Застосувавши певні фільтри до спеціально створеного зображення і відправивши його потенційній жертві, зловмисник міг скористатися уразливістю і отримати доступ до конфіденційної інформації з пам’яті WhatsApp.

Уразливість пов’язана з функцією фільтрації зображень в WhatsApp.

Фільтрація зображень – це процес, за допомогою якого пікселі вихідного зображення змінюються для досягнення деяких візуальних ефектів, таких як розмиття або чіткість.

В ході дослідження фахівці Check Point Research з’ясували, що перемикання між різними фільтрами в створених GIF-файлах призводило до збою WhatsApp. Дослідники визначили один з збоїв як пошкодження пам’яті і негайно повідомили про проблему в WhatsApp, який назвав уразливість CVE-2020-1910, докладно описавши її як проблему читання і запису за межами допустимого діапазону.

За оцінками компанії, через WhatsApp щодня відправляється понад 55 мільярдів повідомлень, включаючи 4,5 мільярда фотографій і один мільярд відео.

Check Point Research представив свої висновки WhatsApp 10 листопада 2020 року. WhatsApp перевірив, визнав проблему безпеки і розгорнув виправлення у версії 2.21.2.13, вказавши уразливість в своєму лютневому оновленні з рекомендаціями щодо безпеки.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Чому три випадкових слова – це найкращий пароль? ІНСТРУКЦІЯ

Як не стати жертвою програм-вимагачів? ПОРАДИ

Якими будуть нові смартфони Galaxy Z Fold 3 та Z Flip 3? ОГЛЯД

Як уникнути шахрайських схем із використанням deepfake-відео? ПОРАДИ

Навіщо інші антивіруси, якщо у Вас є Windows Defender? ПОРАДИ

Як налаштувати режим “Не турбувати” на телефонах Samsung Galaxy? – ІНСТРУКЦІЯ

Нагадаємо, ізраїльський виробник рішень для верифікації та забезпечення прозорості в мобільних та online-екосистемах GeoEdge повідомив про виявлення першої у світі кібератаки на домашні IoT-пристрої з використанням шкідливої реклами.

Також баг на офіційному сайті виробника автомобілів Ford Motor відкривав конфіденційні дані, доступ до яких міг отримати будь-який хакер. Серед інформації були бази даних клієнтів, відомості про співробітників тощо.

Окрім цього, американська трубопровідна компанія Colonial Pipeline виплатила 4,4 мільйона доларів хакерам, які викрали особисті дані майже 6 тисячам нинішніх та колишніх працівників компанії. Colonial Pipeline була вимушена сплатити викуп через ймовірність загрози газової кризи.

І майже анекдотична ситуація трапилася із розробником шкідливих програм, який розпочав їх тестування у своїй системі, щоб випробувати нові функції, а згодом дані потрапили на розвідувальну платформу хакерів. Мова йде про розробника Raccoon – трояна-викрадача інформації, який може збирати дані з десятків програм.

Ця стаття Уразливість в WhatsApp могла привести до розкриття даних користувачів раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

У специфікаціях Bluetooth Core і Mesh Profile виявили уразливості, що дозволяють зловмисникам видавати себе за легітимний пристрій під час створення пари. Завдяки експлуатації виявлених уразливостей кіберзлочинці можуть запустити атаки типу “Людина посередині” (man-in-the-middle, MitM).

Специфікації Bluetooth Core і Mesh Profile визначають вимоги, необхідні Bluetooth-пристроям для взаємодії один з одним. Про вразливості розповіли фахівці Національного агентства безпеки інформаційних систем Франції (ANSSI).

За словами дослідників, перебуваючи в радіусі дії Bluetooth, потенційний зловмисник може запустити атаки MitM. Проблему визнала організація Bluetooth Special Interest Group (SIG), що займається розвитком і підтримкою стандартів, сервісів і додатків Bluetooth.

Загалом експерти знайшли сім уразливостей, шість з яких вже отримали ідентифікатори:

• CVE-2020-26559
• CVE-2020-26556
• CVE-2020-26557
• CVE-2020-26560
• CVE-2020-26555
• CVE-2020-26558

“Ми передали компаніям технічні подробиці уразливостей і методи протидії їх експлуатації. Всім рекомендується терміново встановити вже готові патчі. Як завжди, користувачам технології Bluetooth варто переконатися, що на і пристроях стоять останні апдейти від виробників”, – пише Bluetooth SIG.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як завантажити дані Google Maps? ІНСТРУКЦІЯ

Психічне здоров’я у дітей від соцмереж і смартфонів не страждає – ДОСЛІДЖЕННЯ

Як створити надійний пароль? ПОРАДИ

Як вберегти свої банківські рахунки від кіберзлочинців? ПОРАДИ

Що таке FLoC Google і як він буде відстежувати Вас в Інтернеті?

До речі, пандемія спричинила нову хвилю цифрової трансформації у всьому світі. І державні установи не залишилися осторонь цього процесу. Завдяки розширенню цифрової інфраструктури, зокрема створенню нових додатків та сервісів, віддалених робочих місць та переходу в хмарне середовище, кількість потенційних векторів атак збільшилася.

Також повністю модульний ноутбук з ОС Windows від Framework тепер готовий до попереднього замовлення за базовою ціною у $999. Клієнти можуть розміщувати замовлення на веб-сайті Framework. 13,5-дюймовий ноутбук складається повністю з модульних деталей, включаючи материнську плату, яку ви можете легко поміняти та замінити.

Кілька редакцій Windows 10 версій 1803, 1809 та 1909 досягли кінця обслуговування (EOS), починаючи з травня , про що Microsoft нагадала нещодавно. Пристрої з випусками Windows 10, які досягли EoS, більше не отримуватимуть технічну підтримку, а також щомісячні виправлення помилок та безпеки, щоб захистити їх від останніх виявлених загроз безпеки.

Окрім цього, після вступу в силу нової політики Google в описі додатків з’явиться додатковий розділ з інформацією про те, до яких даними має доступ продукт. У розробників буде можливість розповісти користувачам про те, для чого додаткам потрібен доступ до тих або інших даних і як їх обробка впливає на загальну функціональність.

Ця стаття Баги в Bluetooth дозволяють хакерам відобразити легітимний пристрій раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Цього тижня Google випустила чергове оновлення браузера Chrome, завдання якому усунула ще одну серйозну уразливість в JavaScript-движку V8.

За останні місяці для Chrome вже стали звичними часті патчі, оскільки “дірки” у безпеці інтернет-браузера знаходять доволі часто.

Нова уразливість отримала ідентифікатор CVE-2021-21227 і високу міру небезпеки. Про проблему Google повідомив дослідник з китайської компанії Singular Security Lab Геньмінь Лью, пише Security Week.

Як наслідок інтернет-гігант виплатив фахівцеві $15 000 і описав виявлену уразливість як “недостатню валідацію даних в V8”.

Як пояснив Лью, потенційний хакер може задіяти баг для віддаленого виконання коду в браузері цільового користувача. Експерт також підкреслив, що у даному випадку зловмисник не зможе просто так вийти за межі вбудованої в Chrome пісочниці.

Лью провів паралель між свіжою уразливістю і раніше виявленими CVE-2020-16040 (пропатчили в грудні 2020 року) і CVE-2020-15965 (пропатчили у вересні 2020 року). Ці баги теж зачіпають движок V8 і мають високу ступінь ризику для кінцевого користувача.

Нагадаємо, що минулого тижня вийшла збірка Google Chrome під номером 90.0.4430.85. З її релізом розробники усунули небезпечну 0-day уразливість, яку зловмисники експлуатували в реальних атаках.

А двома тижнями раніше фахівець у галузі кібербезпеки виклав у Twitter експлойт для другої 0-day в Chrome і Edge за тиждень.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як увімкнути записування відео HDR на iPhone? ІНСТРУКЦІЯ

Онлайн-шопінг у соцмережах: як не бути ошуканим?

Як правильно вибрати ноутбук? ПОРАДИ

Як безкоштовно надсилати захищені паролем електронні листи? ПОРАДИ

Нагадаємо, дослідники безпеки опублікували в Мережі PoC-експлойт для запуску шкідливого коду в Chrome, Edge, Vivaldi, Opera і інших браузерах на базі Chromium. Уразливість зачіпає JavaScript-движок V8 і вже виправлена в його вихідному коді, але виправлення поки ще не інтегровано ні з кодовою базою Chromium, ні з заснованими на ньому проектами.

Також дослідники виявили безліч уразливостей в популярних додатках, що допускають виконання довільного коду в системах користувачів всього лише за допомогою одного кліка. Саме тому такі баги отримали неформальне ім’я “уразливості одного кліка” (one-click vulnerabilities).

Розробники WhatsApp усунули дві небезпечні уразливості в Android-версії месенджера. Якщо зловмисник задіє ці дві уразливості в атаці, у нього з’явиться можливість виконати шкідливий код і віддалено зламати мобільний пристрій жертви.

Окрім цього, кіберзлочинці атакують уразливі сервери Microsoft Exchange з метою встановлення програмного забезпечення для майнінгу криптовалют у рамках шкідливої ​​кампанії, спрямованої на використання обчислювальних потужностей скомпрометованих систем для заробітку.

Ця стаття Google знову випустила оновлення для латання “дірок” у Chrome раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Розробники WhatsApp усунули дві небезпечні уразливості в Android-версії месенджера. Якщо зловмисник задіє ці дві уразливості в атаці, у нього з’явиться можливість виконати шкідливий код і віддалено зламати мобільний пристрій жертви.

Окрім цього, хакер теоретично може перехоплювати повідомлення користувача і стежити за його листуванням. Такий тип атаки фахівці називають “Man-in-the-Disk”(“людина в сховищ”), оскільки підґрунтям для них служить некоректна взаємодія мобільних додатків із зовнішнім сховищем.

У даному випадку кіберзлочинець може скомпрометувати уразливий софт за рахунок маніпуляції певними даними, якими програма обмінюється із зовнішнім сховищем (/sdcard).

“Тут ми бачимо, що звичайна фішингова атака через Android-месенджер може вилитися в прямий витік даних, які зберігаються на зовнішньому накопичувачі. Ми покажемо, як виявлення уразливості допоможуть хакеру віддалено зібрати криптографічний матеріал TLS для сесій TLS 1.3 і TLS 1.2”, – пояснюють експерти Census Labs, які виявили проблему.

Одна з уразливостей (отримала ідентифікатор CVE-2021-24027) криється у міжпроцесорній взаємодії (IPC), яким додатки користуються для обміну даними з іншим софтом. Зловмисник може відправити жертві в WhatsApp спеціально створений HTML-файл, а експлойт відпрацює в той момент, коли браузер спробує відкрити такий файл.

Крім того, що хакер здатний отримати ключі сесії, уразливість дозволяє йому віддалено виконати код і навіть витягти ключі протоколу Noise, які використовуються для захисту листувань користувачів наскрізним шифруванням.

На відео дослідники продемонстрували свою знахідку.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як відновити видалені публікації чи історії в Instagram? ІНСТРУКЦІЯ

Як захистити Вашу конфіденційність в Інтернеті, якщо режим анонімного перегляду у Chrome виявився слабким?

Чому у Вас є як мінімум три мільярди причин змінити пароль облікового запису?

Злам веб-сайту: сім ознак, що свідчать про це

Як підвищити захист екаунта в Twitter? ПОРАДИ

Нагадаємо, що майже всі найпопулярніші програми Android використовують компоненти з відкритим вихідним кодом, але багато з цих компонентів застаріли і мають як мінімум одну небезпечну уразливість. Через це вони можуть розкривати персональні дані, включаючи URL-адреси, IP-адреси і адреси електронної пошти, а також більш конфіденційну інформацію, наприклад, OAuth-токени, асиметричні закриті ключі, ключі AWS і web-токени JSON.

Окрім цього, фахівці компанії AdaptiveMobile Security повідомили подробиці про небезпечну проблему в технології поділу мережі 5G. Уразливість потенційно може надати зловмисникові доступ до даних і дозволити здійснювати атаки типу “відмови в обслуговуванні” на різні сегменти мережі 5G оператора мобільного зв’язку.

Також дослідники безпеки виявили в Google Play і Apple App Store сотні так званих fleeceware-додатків, які принесли своїм розробникам сотні мільйонів доларів.

До речі, в даркнеті виявили оголошення про продаж підроблених сертифікатів про вакцинацію і довідок про негативний тест на Covid-19. Крім того, число рекламних оголошень про продаж вакцин від коронавірусу збільшилося на 300% за останні три місяці.

Двох зловмисників з Кривого Рогу викрили у привласненні 600 тисяч гривень шляхом перевипуску сім-карт. Отримавши мобільний номер, зловмисники встановлювали дані про особу, яка раніше його використовувала. Для цього вони авторизувалися у різних мобільних додатках, зокрема поштових служб, державних, комунальних та медичних установ, використовуючи функцію відновлення паролю.

Ця стаття Небезпечні уразливості у WhatsApp дозволяють хакеру перехоплювати Ваше листування раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Компанія Cisco виправила критичну уразливість, що вплинула на кілька версій клієнтського програмного забезпечення Cisco Jabber для Windows, macOS, Android та iOS.

Cisco Jabber – це програма для веб-конференцій та обміну миттєвими повідомленнями, яка дозволяє користувачам надсилати повідомлення за допомогою розширюваного протоколу обміну повідомленнями та присутності (XMPP).

Про уразливість повідомив Олав Сортланд Торезен з Watchcom. Команда реагування на інциденти, пов’язані з безпекою продуктів (PSIRT), зазначає, що на сьогодні цей недолік не використовується, пише Bleeping Computer.

Недолік безпеки, який відстежується як CVE-2021-1411, був оцінений Cisco оцінкою 9,9/10. На щастя, щоб скористатися цією критичною помилкою, зловмисники повинні пройти автентифікацію на сервері XMPP, який використовується уразливим програмним забезпеченням, щоб надсилати шахрайські повідомлення XMPP на пристрій своєї цілі.

Крім того, уразливість не впливає на клієнтське програмне забезпечення Cisco Jabber, налаштоване на режими обміну повідомленнями або лише на телефоні.

Однак успішна експлуатація CVE-2021-1411, яка не вимагає взаємодії з користувачем, може дозволити автентифікованим, віддаленим зловмисникам виконувати довільні програми на пристроях Windows, macOS, Android або iOS, що працюють на непропатченому програмному забезпеченні Jabber.

“Успішний експлойт може дозволити зловмисникові змусити програму виконувати довільні програми в цільовій системі з привілеями облікового запису користувача, на якому працює клієнтське програмне забезпечення Cisco Jabber, що може призвести до довільного виконання коду”, – пояснюється в довідці Cisco.

Уразливе програмне забезпечення включає Cisco Jabber для Windows, macOS, Android або iOS, версії 12.9 або раніше.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як створити гостьову мережу Wi-Fi та навіщо вона потрібна?

Що таке зловмисне ПЗ? Все, що потрібно знати про віруси, трояни та програми-вимагачі

Як обмежити додаткам використання даних у фоновому режимі на Android? – ІНСТРУКЦІЯ

Як налаштувати автовидалення повідомлень у Telegram? – ІНСТРУКЦІЯ

Як заборонити сайтам надсилати Вам сповіщення у Chrome на Android? – ІНСТРУКЦІЯ

Signal чи Telegram: який додаток кращий для чату?

Нагадаємо, на VirusTotal були виявлені кілька зразків трояна XCSSET, які здатні працювати на пристроях з чипами Apple Silicon (M1).  Троян вміє красти файли куки з Safari, інформацію з додатків Evernote, Skype, Notes, QQ, WeChat і Telegram, а також шифрувати файли і впроваджувати шкідливий JavaScript сторінки, що відкривається у браузері, за допомогою XSS-атаки

Окрім цього, у Google Play Маркет знайшли понад десять додатків, що завантажують троянську програму Joker. Ця шкідлива програма примітна тим, що таємно оформляє підписку на преміум-послуги. Вона також вміє перехоплювати SMS, красти конфіденційні дані і список контактів, встановлювати бекдор, генерувати фейковий відгуки, нав’язливо показувати рекламу

Також понад 10 різних APT-груп, які використовують нові уразливості Microsoft Exchange для компрометації поштових серверів, виявили дослідники з кібербезпеки. Дослідники ESET виявили наявність веб-шелів (шкідливі програми або скрипти, які дозволяють дистанційно управляти сервером через веб-браузер) на 5 тисячах унікальних серверах у понад 115 країнах світу.

До речі, хакери вигадали хитрий спосіб викрадення даних платіжних карток у скомпрометованих інтернет-магазина. Замість того, щоб надсилати інформацію про картку на контрольований ними сервер, хакери приховують її у зображенні JPG та зберігають на самому веб-сайті, з якого власне, і були викраденні дані.

А команда експертів змогла отримати доступ до камер відеоспостереження, встановлених в компаніях Tesla, Equinox, медичних клініках, в’язницях і банках. Фахівці опублікували зображення з камер, а також скріншоти своєї здатності отримати доступ суперкористувача до систем спостереження, які використовують в компанії Cloudflare і в штаб-квартирі Tesla.

Ця стаття Cisco виправила критичну уразливість у програмі для відеоконференцій раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Розробники Adobe випустили екстрене оновлення для усунення критичної уразливості, що зачіпає ColdFusion версій 2021 (включаючи 2021.0.0.323925), 2016 і 2018.

Проблема отримала ідентифікатор CVE-2021-21087 і пов’язана з некоректною перевіркою правильності введення (Improper Input Validation). Експлуатація цієї проблеми може привести до віддаленого виконання довільного коду.

У своїй класифікації Adobe уразливість отримала клас пріоритету 2, а це означає, що для проблеми поки немає відомих експлойтів, але вона впливає на продукт, який піддається підвищеному ризику.

Розробники підкреслюють, що необхідно також оновити ColdFusion JDK/JRE до останніх версій (LTS до 1.8 і JDK до 11). Справа в тому, що встановлення патча на ColdFusion, але без відповідного оновлення JDK, не захистить сервер.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як створити гостьову мережу Wi-Fi та навіщо вона потрібна?

Що таке зловмисне ПЗ? Все, що потрібно знати про віруси, трояни та програми-вимагачі

Як обмежити додаткам використання даних у фоновому режимі на Android? – ІНСТРУКЦІЯ

Як налаштувати автовидалення повідомлень у Telegram? – ІНСТРУКЦІЯ

Як заборонити сайтам надсилати Вам сповіщення у Chrome на Android? – ІНСТРУКЦІЯ

Signal чи Telegram: який додаток кращий для чату?

Нагадаємо, на VirusTotal були виявлені кілька зразків трояна XCSSET, які здатні працювати на пристроях з чипами Apple Silicon (M1).  Троян вміє красти файли куки з Safari, інформацію з додатків Evernote, Skype, Notes, QQ, WeChat і Telegram, а також шифрувати файли і впроваджувати шкідливий JavaScript сторінки, що відкривається у браузері, за допомогою XSS-атаки

Окрім цього, у Google Play Маркет знайшли понад десять додатків, що завантажують троянську програму Joker. Ця шкідлива програма примітна тим, що таємно оформляє підписку на преміум-послуги. Вона також вміє перехоплювати SMS, красти конфіденційні дані і список контактів, встановлювати бекдор, генерувати фейковий відгуки, нав’язливо показувати рекламу

Також понад 10 різних APT-груп, які використовують нові уразливості Microsoft Exchange для компрометації поштових серверів, виявили дослідники з кібербезпеки. Дослідники ESET виявили наявність веб-шелів (шкідливі програми або скрипти, які дозволяють дистанційно управляти сервером через веб-браузер) на 5 тисячах унікальних серверах у понад 115 країнах світу.

До речі, хакери вигадали хитрий спосіб викрадення даних платіжних карток у скомпрометованих інтернет-магазина. Замість того, щоб надсилати інформацію про картку на контрольований ними сервер, хакери приховують її у зображенні JPG та зберігають на самому веб-сайті, з якого власне, і були викраденні дані.

А команда експертів змогла отримати доступ до камер відеоспостереження, встановлених в компаніях Tesla, Equinox, медичних клініках, в’язницях і банках. Фахівці опублікували зображення з камер, а також скріншоти своєї здатності отримати доступ суперкористувача до систем спостереження, які використовують в компанії Cloudflare і в штаб-квартирі Tesla.

Ця стаття Вийшов патч Adobe, який виправляє критичну уразливість раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин