Разработчики Drupal выпустили экстренные патчи для «высококритичной» уязвимости в Drupal Core, которая затрагивает сайты, использующие PostgreSQL. Проблема получила идентификатор CVE-2026-9082 и связана с SQL-инъекцией, которая в некоторых сценариях может привести к удаленному выполнению кода.
В Claude Code нашли уже вторую за последние месяцы уязвимость, позволявшую обойти песочницу ИИ-агента. Как утверждает исследователь Аонан Гуань (Aonan Guan), проблема могла использоваться для кражи данных, но разработчики Anthropic исправили баг без публичного предупреждения, отдельного бюллетеня безопасности и идентификатора CVE.
Для подписчиковЗадачи перебора — путей, паролей, хешей или еще чего‑то — выгодно выполнять параллельно. И язык Go здесь подходит как нельзя лучше. Сегодня мы освоим концепцию горутин — легковесных потоков, которыми управляет собственный планировщик в user space, а не ОС, что радикально меняет нагрузку на систему. Заодно напишем свой фаззер поддоменов.
«Ростелеком» подал в Минцифры заявку на включение системы «Леший коннект» в реестр отечественного ПО. Речь идет о платформе для массового управления домашними роутерами и модемами абонентов через протокол TR-069/CWMP. Как следует из заявки, система нужна для удаленной диагностики устройств, автоматической настройки услуг и централизованного обновления прошивок.
Инженеры Google случайно раскрыли детали опасной уязвимости в Chromium, которая оставалась неисправленной почти четыре года. Баг позволяет поддерживать выполнение JavaScript-кода в фоне даже после закрытия браузера, а в некоторых случаях и после перезагрузки устройства. Проблема угрожает Chrome, Microsoft Edge, Brave, Opera, Vivaldi, Arc и другим Chromium-браузерам.
Власти решили отложить введение дополнительной платы за международный трафик сверх 15 Гбайт в месяц в мобильных сетях. Изначально запуск этого механизма планировался в мае, затем сроки сдвинули на 1 июня, но теперь, как сообщают источники РБК и «Коммерсанта», инициативу отложили как минимум до осени, а возможно — до завершения сентябрьских выборов в Госдуму.
Один из создателей Flipper Zero Павел Жовнер впервые подробно представил Flipper One — новый проект Flipper Devices, над которым команда работает уже несколько лет. Речь идет не о следующем поколении Flipper Zero, а о полноценном Linux-девайсе для сетевых задач, SDR, DIY-модулей и локального запуска LLM.
Разработчики Microsoft представили временные защитные меры для проблемы YellowKey — 0-day-уязвимости для обхода BitLocker, которая позволяет получить доступ к зашифрованным данным на Windows-устройствах при наличии доступа к системе. Уязвимость получила идентификатор CVE-2026-45585 и оценку 6,8 балла по шкале CVSS.
В Discord заработало сквозное шифрование (end-to-end encryption, E2EE) по умолчанию для голосовых и видеозвонков. Теперь E2EE будет использоваться во всех личных и групповых звонках, голосовых каналах и трансляциях Go Live, и пользователям не понадобится включать защиту вручную.
Для подписчиковВ этой статье я покажу, как собрать домашний мониторинг сети на Observium: с автообнаружением устройств, графиками нагрузки, алертами и базовой картой подключений. Запустим Observium в Docker на ARM64, настроим SNMP в разных ОС и научимся не наступать на типичные грабли.
ИБ-специалисты Symantec и Carbon Black опубликовали анализ вредоноса fast16 и подтвердили главную гипотезу исследователей SentinelOne: малварь создавали для саботажа ядерных исследований. По данным аналитиков, вредонос вмешивался в расчеты, связанные с моделированием имплозии и ударного сжатия урана — ключевыми процессами при разработке ядерного оружия.
Специалисты Valve удалили из Steam бесплатный хоррор Beyond The Dark, после того как пользователи сообщили о вредоносном коде в файлах игры. Выяснилось, что проект собирал данные пользователей, изучал системы жертв и связывался с удаленной инфраструктурой своих операторов.
Представители GitHub предупредили, что компания пострадала от атаки на цепочку поставок и компрометация затронула примерно 3800 внутренних репозиториев. Сообщается, что атака произошла после того, как один из сотрудников GitHub установил вредоносное расширение для Visual Studio Code.
Исследователи сообщили о новой волне атак малвари Shai-Hulud на экосистему npm. На этот раз злоумышленники опубликовали более 600 зараженных версий пакетов. Атаки затронули свыше 300 проектов (включая экосистему AntV, популярные React-библиотеки и CI/CD-среды).
На завершившемся соревновании Pwn2Own Berlin 2026 ИБ-исследователи заработали 1 298 250 долларов США, продемонстрировав эксплуатацию 47 уникальных уязвимостей нулевого дня. В этом году соревнование было посвящено корпоративным технологиям и ИИ, а среди целей оказались Windows 11, Microsoft Exchange, VMware ESXi, браузеры, контейнерные среды и LLM-инструменты.
Для подписчиковСегодня мы разберемся с нестандартным протектором ElecKey и посмотрим, как защита приложения может быть скомпрометирована. Попутно выясним, почему стандартные инструменты дампинга не справляются с этой задачей, найдем обходной путь и напишем небольшой демонстрационный скрипт.
Исследователи опубликовали PoC-эксплоит для новой уязвимости повышения привилегий в ядре Linux. Баг, получивший название DirtyDecrypt (он же DirtyCBC), позволяет локальному атакующему получить root-права в уязвимых системах.
После публикации исходников червя Shai-Hulud в открытом доступе в npm уже замечены первые клоны этой малвари. Один из обнаруженных специалистами вредоносных пакетов оказался практически точной копией оригинального червя, а другой превращает зараженные машины разработчиков в DDoS-ботнет.
Разработчики Drupal предупредили пользователей о выходе «высококритичных» обновлений безопасности для CMS. Патчи для еще нераскрытой уязвимости появятся сегодня, 20 мая 2026 года, и команда проекта прямо советует администраторам заранее зарезервировать время на срочное обновление сайтов. По словам разработчиков, эксплоиты могут появиться «в течение часов или дней» после раскрытия д
После критики со стороны ИБ-исследователей разработчики Microsoft решили изменить поведение браузера Edge, которое компания изначально называла «особенностью работы приложения». Теперь браузер не будет загружать все сохраненные пароли в память при запуске.