Многие привыкли считать, что VS Code — это просто текстовый редактор. Но «под капотом» у нас старый добрый Electron со всеми вытекающими. Если расширение имеет доступ к файловой системе, а вы открываете в нём кривой файл поздравляю, вы в зоне риска
Я решил покопаться в безопаснности популярных расширений от самой Microsoft: SARIF Viewer и Live Preview. Спойлер: удалось найти обход защиты (CVE-2022-41042) и вытащить локальные файлы через... DNS-запросы.
В телеграмме есть способ раскрыть IP собеседника в 1 клик, не скидывая ему никаких файлов, картинок и даже не заставляю его переходить по сомнительным ссылкам.
Телеграм даже не предупреждает о том, что вы переходите по какой-то странной ссылке.
А как?
10 лет назад большинство из нас не знали, что это за зверь такой. А сейчас мы на пике чего-то вроде эпидемии «самозванца», когда этот термин используется для обозначения самых разных оттенков неуверенности в себе как в профессионале. В большинстве случаев ее можно свести к трем причинам:
неуверенность при освоении новой сферы/должности;
неспособность присвоить себе объективно существующие достижения;
потеря почвы под ногами в результате бизнес-травмы.
В предыдущей части мы рассмотрели основы ECDSA и почему анализ безопасности криптографических алгоритмов требует новых подходов. Сегодня мы погрузимся в удивительный мир топологического криптоанализа — области, где абстрактные математические структуры становятся практическим инструментом для обнаружения уязвимостей.
Представьте, что каждая цифровая подпись ECDSA — это точка на поверхности тора (обычного бублика). Звучит странно? Но именно так работает пространство подписей, если представить уравнение подписи Читать полностью »
Сегодня я бы хотел рассказать о моем самом недооцененном кейсе за почти 5 лет работы. За это время мне удалось поработать со многими гигантами IT-рынка, которые платили достойные вознаграждения.
Однако случай, о котором пойдет речь, оставил после себя крайне неприятный осадок. Несмотря на то, что найденная мной уязвимость имела критический характер и могла привести к серьёзным финансовым последствиям для компании, её оценили в совершенно несоответствующую реальной угрозе сумму.
Привет! Меня зовут Максим Пушкин, я работаю в компании СайберОК. Если вы что-то слышали о нас, то знаете, что последние 3 года мы разрабатываем систему СКИПА (Система Контроля и Информирования о Поверхности Атак).
В ходе этой работы мы с интересом изучаем сервисы, находящиеся в Интернете, и рассматриваем их также с точки зрения безопасности.
В этой статье речь пойдет о простом вопросе: сколько дней/недель/месяцев в среднем живёт уязвимость в реальной жизни?
Model Context Protocol (MCP) стремительно завоевал позиции де-факто стандарта для взаимодействия между AI-агентами и внешними инструментами. Статистика впечатляет: по состоянию на май 2025 года PyPI пакет MCP скачивается около 1.8 миллиона раз в неделю, а NPM пакет — 6.9 миллиона раз, что в сумме составляет почти 8.7 миллиона еженедельных загрузок SDK.
Однако с ростом популярности закономерно возникают вопросы о безопасности. Команда исследователей из Queen's University (Канада) провела первое крупномасштабное эмпирическое исследование безопасности и поддерживаемости MCP серверов, результаты которого были опубликованы в июне 2025 года.
Здравствуй, читатель. В этой статье я расскажу про найденную мной не так давно серьезную уязвимость в UEFI-совместимых прошивках на базе платформы Insyde H2O, которая присутствует в них примерно с 2012 года и (на большинстве существующих ныне систем) продолжает присутствовать.
Уязвимость эта позволяет надежно (и незаметно для средств мониторинга стандартных переменных UEFI SecureBoot вроде db, KEK и PKЧитать полностью »
