ационной системе Android, которые уже эксплуатируются в реальных кибератаках. Одна из уязвимостей – CVE-2024-43093 – описывается как высокоопасная (хотя и не критическая) ошибка, позволяющая по

о, динамического анализа и анализа сторонних компонентов и оценили степень критичности обнаруженных уязвимостей. Низкий уровень защищенности исследователи отметили в 20% приложений, средний – в

Ежемесячное количество обнаруженных уязвимостей в программном обеспечении в 2024 г. достигло отметки в 2 тыс., эта тенденция сохранилась в январе 2025 г. По сравнению с 2023 г. это на 30% больше. Такие данные приводят эксперты ко

Эксперты PT SWARM Алексей Писаренко, Алексей Соловьев и Олег Сурнин помогли устранить шесть уязвимостей в парольном менеджере Passwork, которые в случае их успешной эксплуатации могли привести к потере доступа к паролям. Программа Passwork входит в единый реестр российского ПО, ее исп

В Федеральной службе по техническому и экспортному контролю (ФСТЭК) России насчитали больше тысячи уязвимостей в государственных ИТ-системах. В общей сложности 47% организаций в стране не защи

поиска и обнаружения серверов в сети Windows Lightweight Directory Access Protocol (LDAP Nightmare) CVE-2024-49112 (CVSS — 9,8) Эксплуатируя уязвимость, злоумышленник отправляет запрос DCE/RPC[

йт компании, онлайн-магазин SberShop, платформу для управления маркетинговыми процессами Task Tracker и другие сервисы. Багхантеры получат вознаграждение в зависимости от уровня критичности найденных уязвимостей. Максимальная сумма выплаты составляет 80 тыс. руб. Об этом CNews сообщили представители Сбербанка. Андрей Левкин, руководитель продукта BI.Zone Bug Bounty: «Багбаунти — это эффекти

шет портал Bleeping Computer, за последние несколько месяцев в них было выявлено немалое количество уязвимостей, о многих из которых давно известно киберпреступникам – они активно эксплуатируют

или повлиять на стабильную работу сайта. BI.Zone отмечает рост интереса бизнеса к программам поиска уязвимостей: средняя выплата на платформе выросла за год на 14% до 44 тыс. руб., а количество

или повлиять на стабильную работу сайта. BI.Zone отмечает рост интереса бизнеса к программам поиска уязвимостей: средняя выплата на платформе выросла за год на 14% до 44 тыс. руб., а количество

Проблема очень похожа на ту, которую команде Apache пришлось исправлять в первой половине декабря – CVE-2023-50164 (9,8 балла по шкале CVSS). По мнению Йоханнеса Ульриха (Johannes Ullrich), дек

к их найдут злоумышленники». Компания заявила, что перестраивает свои процессы, связанные с поиском уязвимостей и реакцией на них и вырабатывает новый инструментарий для самостоятельного сканир

иков. При этом самыми распространенными остаются RCE-атаки, в результате которых киберпреступник может захватить полный контроль над сайтом. Об этом CNews сообщили представители Bi.Zone. Эксплуатация уязвимостей сайтов и других публично доступных веб-приложений — один из самых популярных способов проникновения в инфраструктуру российских компаний. По оценке экспертов Bi.Zone WAF, наибольшую

ости, эксперты Positive Technologies собирают и анализируют информацию из различных источников: баз уязвимостей и эксплойтов, бюллетеней безопасности вендоров, социальных сетей, блогов, телегра

аролина выявили в общей сложности 119 уязвимостей, из которых 97 получили уникальные идентификаторы CVE. Проблемы обнаружились сразу в семи реализациях LTE – Open5GS, Magma, OpenAirInterface, A

вления как можно скорее, чтобы «защитить свой ландшафт SAP». Критический статус получили уязвимости CVE-2025-0066 и CVE-2025-0070: обе оцениваются в 9,9 балла по шкале угроз CVSS. CVE

х уязвимостях — 19% от общего числа отчетов в этой отрасли. В финансовой сфере среди всех найденных уязвимостей высокого и критического уровня опасности более двух третей вызваны нарушением кон

ым законопроектом, который будет регулировать деятельность «белых хакеров» в рамках программ поиска уязвимостей в ИТ-системах за вознаграждение (Bug Bounty), пишет «Коммерсант». Согласно проект

За последний год эксперты AppSec Solutions зафиксировали существенный рост числа уязвимостей в Open Source компонентах ПО. Их число выросло более чем на 10000 (39387 против 29066 в 2023 г.). Об этом CNews сообщили представители AppSec Solutions. Эксперты изучили динамику ро

4 г. команда PT SWARM (эксперты, исследующие безопасность систем и устройств) помогла устранить 100 уязвимостей нулевого дня в продуктах крупнейших мировых и отечественных производителей. При э

овня их критичности. Максимальный размер выплат достигает 200 тыс. рублей. Принять участие в поиске уязвимостей и ознакомиться с условиями можно на сайте программы. Анатолий Шипов, управляющий

10). Уязвимость в Windows, приводящая к раскрытию хешей в протоколах сетевой аутентификации NTLMv2 CVE-2024-43451 (CVSS — 6,5) Уязвимость связана с устаревшим движком платформы для обработки H

сокого уровня защищенности и надежности своих сервисов. Исследователям безопасности будет доступен для изучения большой набор веб-ресурсов «СберЛогистики», а вознаграждение за выявление самых опасных уязвимостей может достичь 250 тыс. руб. Об этом CNews сообщили представители Positive Technologies. По данным исследования Positive Technologies, практически в каждой пятой атаке на отрасль тра

в области безопасности, разработанные для сканирования сетей, систем и приложений с целью выявления уязвимостей. Они широко используются в корпоративной среде для регулярного мониторинга состоя

Багбаунти (от англ. bug bounty) — это процесс поиска уязвимостей в ИТ-инфраструктуре, ПО и веб-приложениях компаний за вознаграждение, который перестает быть привилегией гигантов рынка и все чаще применяется компаниями всех размеров. На первый вз

аспространенные среди логистических компаний в III квартале 2024 г. По данным специалистов, в топ-3 уязвимостей вошли уязвимости IDOR, ошибки в алгоритмах использования SMS как второго фактора

, а также конструктор сайтов. Размер вознаграждения рассчитывается в зависимости от вида найденной уязвимости. Максимальная выплата в 500 тыс. руб. может быть получена за выявление критически опасных уязвимостей. Standoff Bug Bounty была запущена в мае 2022 г. С тех пор на платформе зарегистрировалось 16 тыс. исследователей безопасности и было размещено свыше 80 багбаунти-программ компаний

Платформа для организации программ по поиску уязвимостей за вознаграждение Standoff Bug Bounty, запущенная компанией Positive Technologies в мае 2022 г., включена в Единый реестр российского программного обеспечения Минцифры. Это позволит

эксперта по безопасности Kaspersky ICS CERT, уровень зрелости микроконтроллеров и прошивок растет медленно, а выявление угроз в этой области требует значительных усилий. «И, как показывает практика, уязвимостей там много, - продолжает он. - Более того, их эксплуатация несет куда более разрушительные последствия, нежели среднестатистическая уязвимость в ПО на пользовательском уровне». «Факт

риложениях осенью этого года. По этим данным, за месяц в мире обнаруживается порядка 1000 новых веб-уязвимостей. При этом 25% из них относятся к высокому и критическому уровням опасности по шка

операционной системы. Уязвимость в движке платформы MSHTML для обработки и отображения HTML-страниц CVE-2024-43573 (CVSS — 6,5) Уязвимость платформы MSHTML в Windows может привести к несанкцион

К финансовым организациям предъявляются требования по анализу уязвимостей и тестированию на проникновение, согласно Положениями Банка России № 683-П (п. 3.2), № 757-П (п. 1.4.5), а также ГОСТ Р 57580.1-2017. Аналогичные требования обязаны выполнять операт

хакерами» или «охотники за ошибками», обычно это специалисты по кибербезопасности. В обмен на поиск уязвимостей они получают денежные вознаграждения, признание или другие виды вознаграждений в

серьёзными техническими навыками и ресурсами. Чипы Unisoc широко распространены, и от обнаруженных уязвимостей могут пострадать как индивидуальные пользователи уязвимых конечных устройств, так

ти имеют высокую степень риска, ведь имеют от семи до восьми баллов по международной системе оценки CVE. Эти уязвимости могут позволить хакерам выполнять код, повышать привилегии, собирать инфо

томатическом режиме без участия AppSec-инженера. Это модуль автоматического анализа и приоритизации уязвимостей с активным обучением на основе нейросети – собственная разработка компании, котор

Компания «Афиша» запускает отдельную публичную программу багбаунти по поиску уязвимостей. Исследователям предлагается протестировать сайты как традиционных медиа – «Афиши

анных общеизвестных уязвимостей информбезопасности корпорации Common Vulnerabilities and Exposures (CVE) MITRE). 5 тыс. уязвимых сервисов - это те, что подтверждены частичным вскрытием.

можно через функцию copy/paste. Об этом CNews сообщили представители ITD Group. SASTAV автоматически проверяет нескомпилированный код на всех поддерживаемых языках. Для ускорения процесса устранения уязвимостей команда ShiftLeft Security разработала методику КАИВ (каскадная ИИ-валидация дефектов кода), которая предусматривает наличие ИИ-ассистента для автоматизации работы с результатами ан

ого правительства. Мы надеемся, что привлечение независимых исследователей к изучению потенциальных уязвимостей в цифровых системах региона позволит повысить устойчивость к актуальным киберугро