CTO компании Hacktron рассказал, как с помощью модели Claude Opus 4.6 создал рабочую цепочку эксплоитов для JavaScript-движка V8 в Chrome 138. За такую работу можно получить около 15 000 по программе bug bounty, а на черном рынке стоимость свежей 0-day может быть куда выше. При этом затраты исследователя составили 2283 доллара США.
Исследователь Chaotic Eclipse, ранее опубликовавший эксплоит BlueHammer для непропатченной уязвимости в Windows, продолжил свой «крестовый поход» против Microsoft и выложил еще два 0-day эксплоита для Microsoft Defender — RedSun и UnDefend. Специалисты компании Huntress уже зафиксировали эксплуатацию всех трех уязвимостей в реальных атаках.
Для подписчиков
Добрался до базы данных и не знаешь, как раскрутить вектор до захвата сервера? В этой статье на пальцах разберем примеры получения рута сначала в базе, а затем и на сервере.
В Национальном институте стандартов и технологий (National Institute of Standards and Technology, NIST) объявили, что меняют подход к обработке уязвимостей в базе National Vulnerability Database (NVD). С апреля 2026 года организация будет обогащать данными (присваивать оценки серьезности, определять затронутые продукты, добавлять описания и ссылки) только приоритетные записи CVE, а остальные останутся в базе без дополнительной аналитики.
На прошлой неделе на сайте IETF был опубликован черновик нового протокола IPv8, которым предлагается заменить IPv6, в частности, удвоив длину привычных IP-адресов. Инициатива вызвала бурное обсуждение в техническом сообществе, а проверка через GPTZero показала, что большая часть документа, вероятно, написана ИИ.
Облачная платформа для разработчиков Vercel сообщила о взломе. При этом злоумышленники заявляют, что получили доступ к внутренним системам компании и уже продают похищенные данные в даркнете.
В рамках очередной фазы международной операции PowerOFF правоохранительные органы изъяли 53 домена, арестовали четырех подозреваемых и разослали предупреждения более чем 75 000 пользователей платформ для DDoS-атак по найму.
Специалисты компании F6 предупреждают об Android-трояне LunaSpy, который злоумышленники доставляют жертвам весьма нетривиальным способом — вместе со смартфоном. То есть пользователь получает устройство, на котором малварь уже установлена и настроена.
Для подписчиков
Сегодня мы на примере лабораторной работы посмотрим, как можно захватить сеть Wi-Fi со слабым протоколом WPA-PSK. Затем проанализируем трафик Wi-Fi, добудем учетные данные от веб‑сервиса и получим возможность выполнять произвольный код на сервере. Для дальнейшего продвижения проведем атаку Evil Twin на корпоративную сеть Wi-Fi.
Специалист VulnCheck Патрик Гэррити (Patrick Garrity) попытался выяснить, сколько уязвимостей на самом деле нашла новая ИИ-модель Claude Mythos компании Anthropic в рамках инициативы Project Glasswing. Напомним, что разработчики писали о тысячах 0-day.
