КиберСек

Новости Кибербезопасности

Метка: bug bounty

  • Опасная уязвимость в Chrome: Google закрывает бреши

    Опасная уязвимость в Chrome: Google закрывает бреши

    Компания Google выпустила важное обновление для браузера Chrome на компьютерах — версия 136.0.7103.113/.114 уже доступна для пользователей Windows и macOS, а на Linux — версия 136.0.7103.113. Обновление будет выпускаться постепенно в течение следующих дней и недель.

    Самое главное в этом обновлении — исправление четырех уязвимостей, две из которых очень серьезные. Одна из них уже используется злоумышленниками для кибератак. Эта уязвимость связана с ошибкой в компоненте Loader и может позволить обойти системные ограничения Chrome и выполнить вредоносный код.

    Другая серьезная проблема связана с ошибкой в системе межпроцессного взаимодействия Mojo, которая также может привести к различным негативным последствиям, включая повреждение памяти.

    Обе уязвимости были обнаружены внешними исследователями, за что Google выражает им благодарность. Компания не разглашает подробности об уязвимостях, чтобы не дать шанс злоумышленникам.

    Если у вас ещё не обновился Chrome, срочно обновите его. Уязвимость уже используется злоумышленниками, поэтому реальная угроза существует.

  • iOS не передает аудиосообщения с названием ресторана

    iOS не передает аудиосообщения с названием ресторана

    В одном подкасте исследователь обнаружил странную ошибку на iPhone. Если вы отправите голосовое сообщение с упоминанием Dave & Buster’s, оно просто не дойдет до адресата.

    Когда iPhone получает голосовое сообщение, оно автоматически переводит его в текст. Но если в сообщении есть символ &, система запутывается и не может его правильно обработать.

    Эта ошибка происходит из-за того, что система не понимает, что & — это просто часть названия, а не команда. В программировании существует специальный метод экранирования, который позволяет явно указать системе, что & должен интерпретироваться как текст.

    Исследователь Пи Джей Вогт обнаружил проблему, а разработчик Ги Рамбо провел более глубокий анализ ошибок и выяснил, что именно приводит к сбою в iOS.

    Apple уже знает о проблеме и готовит исправление в ближайшем обновлении iOS. Если вы хотите проверить эту ошибку, сделайте это до выхода обновления.

  • Microsoft исправила проблему обновления Windows 11 24H2 через WSUS

    Microsoft исправила проблему обновления Windows 11 24H2 через WSUS

    Если вы управляете обновлениями в компании с помощью WSUS, то у вас есть отличные новости: Microsoft наконец исправила проблему с загрузкой Windows 11 24H2 через локальный сервер обновлений.

    Эта проблема началась после установки апрельского патча безопасности (KB5055528, выпущенного 8 апреля 2025 года) и вызывала ошибку 0x80240069 при попытке обновиться с версий 22H2 или 23H2. Служба обновлений Windows (wuauserv) просто падала, и обновления не загружались. Эта проблема затрагивала только корпоративные среды, так как домашние пользователи обычно не используют WSUS.

    Microsoft начала распространять автоматический откат Known Issue Rollback (KIR), чтобы исправить эту ситуацию, но пока не на всех устройствах. Администраторам нужно будет вручную установить групповую политику KIR на затронутые машины с Windows 11 22H2 и 23H2 через Group Policy Editor на локальном ПК или на контроллере домена.

    Кроме того, Microsoft работает над исправлением другой проблемы: некоторые ПК неожиданно обновляются до Windows 11, несмотря на запрет в политике Intune. Это уже случалось ранее с серверами Windows Server 2019 и 2022, которые обновлялись до Server 2025 без разрешения. Подробные инструкции можно найти на сайте Microsoft в разделе документации.

  • Сбой со списками в Пуске на Windows 10 22H2 исправлен Microsoft

    Сбой со списками в Пуске на Windows 10 22H2 исправлен Microsoft

    Недавно многие пользователи столкнулись с проблемой, когда списки последних файлов не открывались при правом клике по иконке приложений в меню «Пуск» в Windows 10 версии 22H2. Это называется jump list — функция, позволяющая быстро получить доступ к недавно открытым документам или папкам.

    Microsoft случайно сломала эту функцию при внедрении нового интерфейса управления учетными записями в марте 2025 года. Пользователи начали жаловаться, что списки не появляются. Компания приостановила внедрение обновления и утверждает, что новые устройства не столкнутся с этой проблемой, а для пострадавших исправление должно прийти автоматически.

    Проблема в основном затронула пользователей домашних и Pro-версий Windows 10. Если у вас все еще не работает, попробуйте проверить подключение к интернету и перезагрузить компьютер. Microsoft уже исправляла другие баги в Windows 10, такие как удаление Copilot при обновлении, проблемы с SSH-соединениями, ошибки при печати, путаницу с политиками Active Directory и проблемы с работой WSL2 с GPU.

  • СберТех увеличил вознаграждение за нахождение уязвимостей до 200 тысяч

    СберТех увеличил вознаграждение за нахождение уязвимостей до 200 тысяч

    Независимые исследователи могут заработать до 200 тысяч рублей за нахождение ошибок в сервисах СберТеха. Компания расширила свою программу Bug Bounty на платформе BI.ZONE. Теперь ищущие ошибки могут проверять уязвимости не только на платформе GitVerse, но и на любых клиентских и пользовательских сервисах на сайте sbertech.ru.

    Вознаграждение зависит от того, насколько серьезной является найденная проблема. Максимальная выплата за ошибку составляет 200 тысяч рублей. Глава СберТеха Максим Тятюшев отметил, что компания хочет улучшить защиту своих продуктов и показать готовность к проверке своих публичных сервисов. Руководитель программы BI.ZONE Bug Bounty Андрей Лёвкин добавил, что все больше разработчиков запускают свои программы проверки на ошибки. Тренд на увеличение числа программ Bug Bounty в России сохраняется: появляются новые участники из разных отраслей, а компании все активнее сотрудничают с независимыми исследователями.

    BI.ZONE Bug Bounty — это площадка, где компании размещают свои программы, а ищущие ошибки получают вознаграждение за найденные проблемы. Среди участников платформы уже есть Сбер, VK, «Т-Банк», «Группа Астра» и другие. СберТех разрабатывает программное обеспечение для бизнеса и государственного сектора и является основным поставщиком решений для Сбера.

  • Проблема с багом в GTA: San Andreas на Windows 11 24H2

    Проблема с багом в GTA: San Andreas на Windows 11 24H2

    Недавно на форумах SilentPatch и GTAForums обсуждали странную проблему в игре GTA: San Andreas на Windows 11 24H2: гидросамолет Skimmer исчез. Никакие спавны или трейнеры не помогают его найти, даже без модов он пропадает.
    Эта проблема затронула всех, кто обновился до новой версии Windows. После тестов стало понятно, что после обновления до 24H2 Skimmer действительно пропадает. Попытка заспавнить его приводит к тому, что игрока катапультирует на огромную высоту.
    Причина проблемы оказалась в баге в самой игре GTA: San Andreas, который никак не проявлялся более 20 лет. В файле vehicles.ide у Skimmer были неполные данные, из-за чего игра начала работать с неправильными значениями в памяти после обновления Windows 11 24H2.
    Чтобы исправить эту проблему, разработчик SilentPatch предложил заменить строку в файле data\vehicles.ide в папке с игрой. Это вернет Skimmer в игру. Ошибка появилась из-за изменений в работе функций в новой версии Windows, которые перезаписывают старые значения в памяти, вызывая проблемы.
    История с Skimmer показывает, как маленькие изменения в операционной системе могут выявить старые ошибки в коде игр. Важно следить за переменными и обновлять игры, чтобы они работали надежно. Благодаря моддерам и патчам, как SilentPatch, можно продолжать играть в любимые игры даже спустя десятилетия.

  • Ошибка 0x80070643 при обновлении WinRE: объяснение Microsoft

    Ошибка 0x80070643 при обновлении WinRE: объяснение Microsoft

    Если у вас возникла ошибка 0x80070643 при установке апрельского обновления для среды восстановления Windows (WinRE), не волнуйтесь, это ложная тревога. Обновления KB5057589 для Windows 10 (версии 22H2 и 21H2) и KB5057588 для Windows Server 2022 могут выдавать это сообщение, но на самом деле обновление проходит успешно. Просто система может запутаться, если одновременно висит другое обновление, ожидающее перезагрузки.

    Не нужно ничего делать! Ошибка исчезнет сама после следующей проверки обновлений и перезагрузки компьютера. Microsoft уже работает над исправлением этой проблемы в будущих обновлениях.

    Ранее такая ошибка возникала и уже была исправлена. Сейчас же это не представляет угрозы, и вам не нужно ничего делать.

  • Папка inetpub на диске C — не троян после обновления Windows

    Папка inetpub на диске C — не троян после обновления Windows

    Если вы обновили свой компьютер до Windows 11 версии 24H2 и установили обновление KB5055523, то возможно заметили появление странной папки inetpub на вашем диске C. Не волнуйтесь, это не вирус и не шутка, а просто небольшая ошибка.

    Эта папка обычно появляется только если вы активируете веб-сервер IIS вручную. Однако после обновления IIS по-прежнему остается отключенным компонентом. Похоже, его случайно включили во время установки обновления, а затем снова отключили, забыв удалить папку inetpub.

    Пока неясно, зачем вообще понадобился IIS во время обновления. Возможно, это было связано с какой-то внутренней задачей, а может быть, это просто ошибка. Однако папка inetpub безопасна и не представляет угрозы. Вы можете удалить ее вручную или оставить как есть, это не повлияет на работу Windows.

    Недавно мы рассказывали о проблемах с обновлением KB5002700 для Office 2016, из-за которого пользователи Windows 10 и 11 столкнулись с отказом приложений. Также апрельские обновления привели к проблемам с Windows Hello у некоторых пользователей.

  • Обновление Office 2016 от Microsoft испортило Word, Excel и Outlook

    Обновление Office 2016 от Microsoft испортило Word, Excel и Outlook

    После установки обновления KB5002700 для Office 2016 на компьютеры с Windows 10 и 11 многие пользователи столкнулись с проблемами. Программы Word и Excel перестали запускаться, а Outlook не открывался при попытке доступа к Календарю. В социальных сетях появилось много жалоб на эту проблему.
    Чтобы исправить ситуацию, пользователи должны удалить обновление KB5002700 с помощью Редактора реестра и перезагрузить компьютер. К счастью, Microsoft выпустила новое обновление KB5002623 для Office 2016, которое исправляет все проблемы. Его можно скачать с Центра загрузок Microsoft.
    Кроме того, Microsoft выпустила обновление для Windows, которое исправляет проблемы с печатью, возникшие после установки предыдущих обновлений. Некоторые USB-принтеры начали печатать непонятные символы из-за ошибки в предыдущих обновлениях.

  • Новый Chrome 135: 14 уязвимостей закрыты, включая CVE-2025-3066

    Новый Chrome 135: 14 уязвимостей закрыты, включая CVE-2025-3066

    Компания Google выпустила новое обновление своего браузера. Теперь Chrome 135 доступен для пользователей Windows, macOS и Linux. Это обновление не только улучшает работу программы, но также исправляет 14 уязвимостей, обнаруженных внешними исследователями.

    Одной из главных исправленных проблем была уязвимость под кодовым названием CVE-2025-3066, которую обнаружил исследователь Sven Dysthe. Эта ошибка типа use-after-free в системе навигации Chrome могла быть использована злоумышленниками для удаленного выполнения кода или обхода защиты.

    Обновление затронуло важные части браузера, которые часто подвергаются атакам хакеров, такие как навигация, работа с расширениями, скачивание файлов и проверка пользовательского ввода.

    Патчи, исправляющие уязвимости, очень важны для безопасности пользователей. Чтобы убедиться, что ваш браузер обновлен до последней версии, следует выполнить следующие шаги:
    1. Откройте Chrome.
    2. Перейдите в раздел Настройки → О Chrome.
    Браузер автоматически проверит наличие новой версии и установит ее (для Linux это 135.0.7049.52, для Windows и macOS — 135.0.7049.41/42).

  • Предложения сенаторов по легализации белых хакеров

    Предложения сенаторов по легализации белых хакеров

    В Совете Федерации предложили разрешить специалистам работать с владельцами информационных систем и сообщать им о проблемах без опасности быть преследуемыми по закону. Это предложение содержится в письме первого заместителя председателя Комитета Совета Федерации по законодательству и государственному строительству Артема Шейкина заместителю министра цифрового развития Ивану Лебедеву. Документ датирован 25 марта.

    Предложение включает обязательство для владельцев информационных систем размещать форму для сообщений об обнаруженных проблемах. Для идентификации специалистов предлагается использовать специальную систему. Также предлагается официально разрешить специалистам сообщать о проблемах и передавать информацию владельцам систем. Этот способ сотрудничества должен быть закреплен наряду с другими моделями сотрудничества.

    В Госдуме уже обсуждается законопроект о разрешении работы специалистов по поиску проблем в системах. В Минцифры сообщили, что изучают предложения. Ведомство заинтересовано в правовом регулировании деятельности специалистов для обеспечения безопасности систем, но многие вопросы остаются неурегулированными.

    Создание реестра специалистов вызвало разные мнения. Некоторые считают, что это усложнит вход в профессию, другие опасаются попасть в санкционные списки. Однако некоторые считают, что реестр поможет специалистам работать и оценивать их способности.

  • Microsoft требует видео для изучения уязвимости

    Microsoft требует видео для изучения уязвимости

    Специалист по кибербезопасности Уилл Дорман критикует компанию Microsoft за то, что они отказались рассматривать его отчёт о найденной ошибке без видеодоказательства.

    Дорман отправил подробное описание проблемы и скриншоты в Microsoft Security Response Center (MSRC), но им отказали из-за отсутствия видео, демонстрирующего использование уязвимости.

    Дорман считает, что видео не нужно, так как он мог бы показать только ввод команд в командной строке. Он сделал 15-минутное видео, но не смог загрузить его из-за ошибки.

    Эксперт считает, что сотрудники MSRC просто следуют инструкциям, не понимая суть проблемы. Microsoft заявила, что видео не обязательно, но может помочь получить награду.

    Дорман ждёт ответа от Microsoft.