0day Alert

Ошибка в ядре Linux позволила гостевой машине вмешаться в работу хоста на arm64 Исследователь Хёнву Ким обнаружил уязвимость CVE-2026-46316 (CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H — 9.3 Critical) в реализации KVM для arm64 в ядре Linux. Из-за состояния гонки в эмуляции vGIC-ITS гостевая система могла вмешиваться в то, как хост обрабатывает прерывания, и добиться выполнения своих команд. При успешной атаке код исполняется не с правами процесса виртуализации, а с привилегиями ядра хоста. В демонстрации это выразилось наглядно: после выхода из гостевой системы уязвимость создавала файл /ITScape на хосте от имени пользователя с uid 0. Уязвимость затрагивает ядра Linux начиная с апреля 2024 года и исправлена коммитом от 5 июня 2026 года. Проблема касается только KVM на arm64 и не затрагивает x86 — администраторам таких хостов нужно проверить наличие патча, а пользователям arm64-облаков уточнить статус обновления у своего провайдера. #kvm #уязвимостьядра #виртуализация #arm64 @ZerodayAlert

Google выпустила экстренное обновление Chrome для всех платформ В движке V8 обнаружена уязвимость, позволяющая выйти за пределы допустимой области памяти. Google подтвердила, что рабочий эксплойт уже существует и активно применяется злоумышленниками. Также в обновлении закрыты 17 критических уязвимостей типа use-after-free. Уязвимые компоненты охватывают Ozone, Aura, Bluetooth, Autofill, Gamepad, Printing и ряд других модулей браузера. Новая версия Chrome получила номера 149.0.7827.102/103 для Windows и macOS и 149.0.7827.102 для Linux. Обновление можно запустить вручную через раздел «О браузере Chrome», после чего потребуется перезапуск. #chrome #zeroday #google #обновление @ZerodayAlert

RoguePlanet бьёт по Microsoft Defender и даёт права SYSTEM в Windows Исследователь Nightmare Eclipse опубликовал эксплойт RoguePlanet для Microsoft Defender. ThreatLocker подтвердила работу кода на полностью обновлённых Windows 11 с KB5094126. Под ударом остаются Windows 10 и Windows 11, официального исправления от Microsoft пока нет. Проблема связана с состоянием гонки, при котором атакующий успевает вмешаться в работу процессов Defender и поднять права до SYSTEM. Изначально вектор связывали с обработкой файлов на удалённых SMB-серверах, но Microsoft уже изменила часть механизма, поэтому удалённое выполнение кода остаётся неясным. До выхода исправления стоит ограничить запуск неизвестных файлов и усилить контроль приложений. Организациям поможет белый список разрешённого ПО. Когда уязвимость закроют, с обновлением лучше не тянуть. #Defender #Windows #RoguePlanet #LPE @ZerodayAlert

Три уязвимости в Ubiquiti UniFi OS Server открывают root-доступ ко всей инфраструктуре Специалисты показали, что три уязвимости в Ubiquiti UniFi OS Server можно объединить в одну цепочку атаки. Все три получили максимальную оценку по CVSS 10,0 и затрагивают версии UniFi OS Server 5.0.6 и ниже. Цепочка работает из-за того, что компонент проверки доступа и Nginx по-разному обрабатывают один и тот же запрос: специально составленный запрос выглядит легитимным, но попадает во внутреннюю защищённую часть системы. Это позволяет без каких-либо учётных данных добраться до функции обновления пакетов и внедрить команды, которые выполняются на сервере. Повышение привилегий до root достигается через права sudo без пароля у служебной учётной записи. Опасность усиливается тем, что UniFi OS Server нередко управляет не только сетью, но и камерами, дверными системами и связанными учётными записями. #ubiquiti #unifi #уязвимость #rce @ZerodayAlert

Check Point сообщила об эксплуатации уязвимости в протоколе IKEv1 Уязвимость затрагивает решения Check Point Remote Access VPN и Mobile Access при включённом устаревшем протоколе IKEv1. Ошибка кроется в механизме проверки сертификатов и позволяет злоумышленнику создать сеанс удалённого доступа в обход стандартной аутентификации. Первые признаки эксплуатации датируются 7 мая 2026 года, а в начале июня число атак резко возросло. На сегодня зафиксированы десятки атакованных организаций по всему миру, в одном из случаев подтверждена активность партнёра вымогательской группировки Qilin. В ходе расследования была обнаружена вторая уязвимость, также связанная с IKEv1 и допускающая атаку «человек посередине». Check Point выпустила исправления для обеих уязвимостей и рекомендует немедленно обновить затронутые шлюзы. #zeroday #уязвимость #вымогатели #ikev1 @ZerodayAlert

Cisco раскрыла детали активно эксплуатируемой уязвимости в SD-WAN Manager Cisco обнаружила уязвимость CVE-2026-20245 (с оценкой по CVSS 7.8, High) в интерфейсе командной строки Catalyst SD-WAN Manager. Проблема затрагивает локальные установки, облачные версии SD-WAN и специализированное решение для государственных заказчиков. Пользователь с правами netadmin способен загрузить специально подготовленный файл и выполнить произвольные команды с привилегиями root. Недостаточная проверка пользовательских данных позволяет внедрять команды через вредоносный файл и повышать уровень доступа до максимального. CVE-2026-20245 стала седьмой активно эксплуатируемой уязвимостью Cisco SD-WAN в 2026 году — исправления для неё пока нет. Cisco рекомендует убедиться в наличии ранее выпущенных патчей и проверить журнал /var/log/scripts.log на признаки компрометации. #cisco #sdwan #root #zeroday @ZerodayAlert

Два года, два коммита, один эксплойт — история критической уязвимости в Redis В январе и марте 2023 года разработчики Redis внесли два небольших изменения в код — каждое выглядело безобидно и прошло проверки безопасности. Вместе они сложились в классическую ошибку use-after-free в функции unblockClientOnKey(): код освобождал память клиента, а потом продолжал с ней работать как ни в чём не бывало. Никто не замечал проблему два года, пока на соревновании по взлому ZeroDay.Cloud в Лондоне её не нашёл автономный ИИ-инструмент Team Xint Code. Уязвимость позволяет любому авторизованному пользователю Redis через три этапа — утечку адреса, подмену структуры клиента и перехват системного вызова — выполнять произвольные команды прямо на сервере. Особую остроту ситуации придаёт масштаб распространения Redis: по оценке Wiz, он встречается в большинстве облачных сред, причём многие экземпляры работают без пароля и с правами по умолчанию, которых достаточно для всей цепочки атаки. Полное техническое описание уже опубликовано — исправленные версии вышли 5 мая, и затягивать с обновлением не стоит. #redis #zeroday #уязвимость #rce @ZerodayAlert

MiniPlasma: уязвимость в драйвере Windows, дающая атакующему полный контроль над системой Уязвимость MiniPlasma затрагивает драйвер Cloud Filter и позволяет поднять привилегии до уровня SYSTEM на полностью обновлённых Windows 11, Windows Server 2022 и Windows Server 2025. Проблема связана с CVE-2020-17103, которую считали закрытой ещё в 2020 году, однако тот же механизм атаки работает до сих пор. Белый хакер под псевдонимом Nightmare Eclipse опубликовал готовый эксплойт без предварительного уведомления Microsoft — это уже шестая подобная публикация за два последних месяца. Наличие публичного демонстрационного кода снижает порог входа для атакующих: уязвимостью могут воспользоваться не только продвинутые группы, но и менее квалифицированные злоумышленники. Реальные атаки с применением MiniPlasma фиксируются с 10 апреля, патч Microsoft обещает выпустить 9 июня. До этого момента администраторам рекомендуется отслеживать символические ссылки в ветке реестра CloudFiles\BlockedApps, появление wermgr.exe вне системных каталогов и нестандартную активность службы отчётов об ошибках Windows. #windows #SYSTEM #0day #miniplasma @ZerodayAlert

Без патча и без CVE: 0day в Windows позволяет перехватить учётные данные домена Атакующему достаточно убедить пользователя перейти по ссылке вида search: с параметром crumb=location: и сетевым UNC-путём. Windows автоматически обращается к SMB-серверу злоумышленника и отправляет NTLMv2-хеш — ещё до того, как пользователь увидит сообщение об ошибке. Проблема воспроизводится на Windows 11 25H2 Pro под обычной учётной записью без прав администратора и при включённом Защитнике. Схемы search: и search-ms: обрабатываются одним компонентом ExplorerFrame.dll, поэтому точечное исправление одной из них не закрывает уязвимость полностью. Huntress уведомила Microsoft 15 апреля 2026 года, однако компания отказалась выпускать исправление и присваивать CVE, сославшись на умеренную степень опасности. При этом аналогичная уязвимость в «Ножницах» (CVE-2026-33829) с тем же рейтингом всё же получила исправление в том же месяце. #windows #ntlm #уязвимость #утечкаданных @ZerodayAlert

Что скрывают коридоры корпоративной сети 🔦 Сигналы становятся тише. Тени — гуще. Аномалии появляются там, где еще вчера все казалось привычным и безопасным. И только PT NAD всегда позволял видеть то, что остается в тенях инфраструктуры. Но что-то изменилось… Словно в глубине сети открылся портал — в новую, более опасную реальность. И на этот раз система первой ощущает, что привычные правила больше не работают. Поэтому PT NAD в версии 13.0 обретает новую силу 🌐 Смотрите сегодня 4 июня в 14:00 как PT NAD закрывает цикл incident response — от точного детекта до автоматизированного реагирования. Что внутри? ⚡️ Автоматизированное реагирование — одно действие в интерфейсе, и угроза изолируется до того, как успевает стать инцидентом. ✨ Облачное детектирование — дополнительные ИИ-мощности в нашем облаке позволят видеть больше, реагировать точнее и отсекать ложные тревоги без затрат на новую инфраструктуру. 💬 Архивное хранение метаданных — поможет расследовать продолжительные инциденты без значительного удорожания инфраструктуры. ⏳ Гибкая интеграция с песочницами — подозрительные объекты больше не останутся загадкой. 🚨 Новые алгоритмы определения протоколов по побочным каналам — PT NAD сможет видеть даже то, что пытается остаться невидимым. Мы включим свет 4 июня в 14:00. И все, что скрывалось в тенях сети, перестанет быть невидимым. Регистрируйтесь заранее — чтобы ничего не пропустить и не остаться во тьме. #PTNAD @Positive_Technologies

Meta устранила способ захвата аккаунтов Instagram через собственного ИИ-ассистента Злоумышленники обращались к ИИ-помощнику Meta* в чате и просили привязать к чужому аккаунту новый адрес электронной почты. После этого система отправляла проверочный код уже на почту атакующего — и этого было достаточно для сброса пароля без доступа к оригинальному ящику владельца. Среди пострадавших оказались заметные аккаунты: страница Белого дома эпохи Обамы, профиль высокопоставленного военного Космических сил США и аккаунт Sephora. Часть захваченных страниц временно получила проиранские изображения, а атакующие параллельно охотились за ценными короткими никами. Instagram* устранил проблему после волны публикаций на Reddit, X и в Telegram, где распространялись видео и описания атаки. По данным авторов этих материалов, схема не срабатывала на аккаунтах с включённой многофакторной аутентификацией. #ИИ #чатбот #взлом #кибербезопасность @ZerodayAlert * Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.

Одним домашним компьютером можно положить nginx, Apache или IIS за несколько секунд Новая атака HTTP/2 Bomb объединила два давно известных приёма в одну цепочку - и результат оказался неожиданно разрушительным. Алгоритм сжатия заголовков HPACK превращается в усилитель нагрузки, а механизм управления потоком не даёт серверу освободить память. Под удар попали nginx, Apache httpd, Microsoft IIS, Envoy и Cloudflare Pingora. Сервер исправно проверяет лимит на объём заголовков - и не находит нарушений. Но памяти уходит всё больше: один байт в пакете заставляет создать полноценную структуру данных, и так тысячи раз за один запрос. Усиление в демонстрации достигло 5700:1 - при том что сам запрос выглядел совершенно законным. Атаку нашёл не исследователь, а OpenAI Codex при анализе кода - модель просто связала две идеи, которые специалисты годами рассматривали по отдельности. Авторы сразу предупреждают: после выхода патча восстановить логику эксплойта по diff-файлу теперь может любой. Окно между исправлением и рабочей атакой сжалось до минут. #HTTP2 #HPACK #отказвобслуживании @ZerodayAlert

0day в VS Code: свободный доступ к приватным репозиториям GitHub по одной ссылке github.dev — это VS Code прямо в браузере, и для работы GitHub выдаёт ему токен доступа. Этот токен действует не только для открытого репозитория, но и для всех приватных проектов пользователя. VS Code прокидывает нажатия клавиш из встроенных окон в основной редактор — чтобы работали горячие клавиши. Вредоносный скрипт мог имитировать эти нажатия и без ведома пользователя установить расширение, которое крадёт токен. Для атаки достаточно было перейти по подготовленной ссылке на репозиторий с вредоносным блокнотом Jupyter. Исследователь раскрыл уязвимость 2 июня 2026 года и за час до публикации сообщил об этом в GitHub. #github #vscode #уязвимость #zeroday @ZerodayAlert

Netlogon дал атакующим прямой путь к контроллерам домена Windows Server Бельгийский регулятор сообщил, что CVE-2026-41089 уже используют в реальных атаках. Речь не о второстепенном компоненте, а о Windows Netlogon, который участвует в проверке пользователей и сервисов в корпоративных сетях. Уязвимы все поддерживаемые версии Windows Server, включая Windows Server 2025. Корень проблемы простой и опасный: переполнение буфера в службе, которая стоит в центре доменной инфраструктуры. Атакующему достаточно отправить вредоносный сетевой запрос на контроллер домена, без пароля и без прав. Если сервер не обновлен, ошибка может привести к удаленному выполнению кода. Откладывать патч здесь плохая идея, потому что такие баги быстро превращаются в массовую охоту на домены. Администраторам стоит срочно проверить установку майских обновлений безопасности. А контроллеры домена лучше дополнительно просмотреть на подозрительную сетевую активность. #WindowsServer #Netlogon #CVE #RCE @ZerodayAlert

Gogs оставили без патча после отчёта о RCE через git rebase Новый 0-day в Gogs бьёт по версиям 0.14.2 и 0.15.0+dev. Rapid7 говорит, что админка атакующему не нужна. Достаточно зарегистрироваться, создать репозиторий и подготовить pull request с хитрым именем ветки. Схема простая и неприятная. Gogs передаёт имя ветки в логику Merge(), где можно подсунуть аргумент --exec для git rebase. Когда сервер делает «Rebase before merging», Git выполняет команду атакующего уже на стороне сервера. Рекомендации следующие: закройте регистрацию, проверьте права на создание репозиториев и уберите Gogs из прямого доступа с интернета. Отключите «Rebase before merging», если функция не нужна. Логи и новые репозитории лучше проверить вручную, особенно на публичных инстансах. #gogs #git #rce #0day @ZerodayAlert

Notepad++ закрыл три уязвимости, две позволяют выполнить чужой код Разработчики выпустили Notepad++ 8.9.6.1 и закрыли CVE-2026-48770, CVE-2026-48778 и CVE-2026-48800. Самые опасные бреши получили оценку 7,8 по CVSS и затрагивают сценарии с config.xml и shortcuts.xml. Для редактора, которым массово пользуются в Windows-средах, риск выглядит заметным. Главная проблема связана с тем, как Notepad++ обрабатывал параметр commandLineInterpreter. Программа брала значение из конфигурации без проверки, а затем запускала указанный файл через штатную функцию «Open Containing Folder in cmd». Злоумышленник мог подменить настройки через AppData, ярлык с -settingsDir, облачную папку или подготовленный архив. Пользователям лучше обновиться до Notepad++ 8.9.6.1. Администраторам стоит следить за изменениями config.xml и shortcuts.xml. В корпоративной среде права записи в чувствительные каталоги лучше ограничить заранее.

Стандартные ключи шифрования ASP.NET оставили серверы обучения без защиты Платформа KnowledgeDeliver использовала стандартный файл конфигурации с одинаковыми ключами ASP.NET machineKey. Получив секретные параметры, злоумышленники создавали поддельный ViewState и выполняли команды на целевом сервере. Взломщики загружали инструмент BLUEBEAM напрямую в память системного процесса IIS. Скрытая программа принимала зашифрованные команды и запускала дополнительные модули без сохранения файлов на жестком диске. Атакующие меняли права доступа к системным папкам и добавляли вредоносный код в сценарии платформы. Посетители сайта видели ложное окно безопасности и скачивали Cobalt Strike BEACON. #уязвимость #образование #взлом #безопасность @ZerodayAlert

Ошибки маршрутизации в Starlette затронули проекты на базе FastAPI Starlette неправильно восстанавливает адрес запроса: фреймворк собирает URL из пути и содержимого заголовка Host, не проверяя корректность его значения. Добавление специальных символов в Host позволяет фактически подменить путь запроса в обработчике приложения. Маршрутизация использует реальный HTTP-путь, тогда как часть защитных механизмов опирается на request.url.path, который строится из уже изменённого URL. На практике это позволяет обойти защиту панели администратора: запрос к /admin возвращал 403, но символ «?» в заголовке Host открывал доступ к закрытому разделу. Уязвимость CVE-2026-48710 с оценкой CVSS 6.5 Medium затрагивает версии 0.8.3–1.0.0 и все популярные ASGI-серверы при использовании request.url.path. Исправление вышло в версии 1.0.1, а до обновления рекомендуется использовать request.scope["path"] и проверять заголовок Host на уровне обратного прокси. #starlette #fastapi #python #уязвимость @ZerodayAlert

Посетители японской учебной платформы KnowledgeDeliver получили Cobalt Strike вместо урока Все установки KnowledgeDeliver до 24 февраля 2026 года поставлялись с одинаковым файлом web.config, содержащим стандартные ключи ASP.NET machineKey. Зная эти ключи, злоумышленник мог сформировать вредоносный ViewState и выполнить произвольный код на любом доступном сервере платформы без аутентификации. После проникновения атакующие развернули веб-оболочку BLUEBEAM (Godzilla), работающую исключительно в памяти процесса IIS w3wp.exe. Это позволяло управлять сервером через зашифрованные HTTP POST-запросы, не оставляя следов на диске при стандартной проверке файлов. Затем злоумышленники внедрили вредоносный код в JavaScript-файл сайта и начали показывать посетителям поддельное предупреждение безопасности с предложением установить «модуль проверки подлинности». Поддельный установщик заражал рабочие станции загрузчиком Cobalt Strike BEACON, зашифрованным с использованием названия конкретной атакуемой организации. #knowledgedeliver #уязвимость #aspnet #кибербезопасность @ZerodayAlert

7-Zip 26.00 и старше уязвимы к запуску кода через NTFS-образ GitHub Security Lab выявила в 7-Zip уязвимость CVE-2026-48095, связанную с обработкой NTFS-образов. Ошибка подтверждена в 7-Zip 26.00, но затрагивает все версии с поддержкой сжатых потоков NTFS. Для атаки достаточно, чтобы пользователь открыл, проверил или начал извлекать файл из подготовленного образа. Корень проблемы кроется в обработчике NTFS. Старые версии 7-Zip принимают слишком крупный размер кластера и значение CompressionUnit, а затем ошибаются при расчете буфера для сжатых данных. Из-за сбоя в 32-битной арифметике программа может выделить всего 1 байт, после чего записывает туда до 256 МБ данных, контролируемых атакующими. Такая перезапись памяти бьет по объектам в куче и может привести к выполнению кода или падению приложения. Рекомендации следующие: обновите 7-Zip до 26.01 или новее. Не открывайте образы дисков и архивы из сомнительных источников. Не доверяйте расширению файла, потому что 7-Zip может распознать NTFS по сигнатуре даже под видом .zip, .rar, .7z или файла без окончания.