Уязвимость в Microsoft Copilot использует сбои в журналах аудита
Недавно обнаруженная уязвимость M365 Copilot позволяет пользователям получать доступ к информации о файлах без записи активности в журнал аудита. Эта проблема возникла случайно, а не является результатом сложной атаки.
Исследователь не смог сообщить об уязвимости сайта McDonald’s из-за отсутствия формы для связи
Исследователь безопасности под ником BobDaHacker рассказал, что он смог получить доступ к платформе McDonald's, предназначенной только для сотрудников и франчайзи. Он хотел сообщить об уязвимости компании, но не нашёл способа сделать это из-за отсутствия обратной связи.
Уязвимость в коде Microsoft NLWeb позволяла получать доступ к файлам на удалённом компьютере
В мае этого года, на конференции Build 2025, Microsoft представила проект NLWeb, призванный стать инструментом взаимодействия агентов искусственного интеллекта с веб-сайтами. Исследователи безопасности нашли в нём серьёзную уязвимость.
Система поиска уязвимостей с ИИ Google Big Sleep обнаружила 20 багов в опенсорсных проектах
Система поиска уязвимостей с искусственным интеллектом Google Big Sleep обнаружила 20 багов в проектах с открытым исходным кодом, включая аудио- и видеобиблиотеку FFmpeg и пакет для редактирования изображений ImageMagick.
Новости кибербезопасности за неделю с 4 по 10 августа 2025
Всё самое интересное из мира кибербезопасности /** с моими комментариями.1) Shade BIOS: новый вектор атаки из BIOS, невидимый для антивирусов и ОС
Microsoft выплатила исследователям безопасности рекордные $17 млн за обнаружение уязвимостей
C июля 2024 года по июнь 2025 года Microsoft выплатила рекордные $17 млн 344 исследователям безопасности из 59 стран в рамках своей программы вознаграждений за обнаружение уязвимостей. Исследователи представили почти 1,5 тыс. отчётов об уязвимостях. Максимальная индивидуальная награда достигла $200 тыс.
Обнаружение уязвимостей ИИ агентов. Часть I: Введение в уязвимости
Этот вводная часть открывает серию статей о уязвимостях агентов ИИ, в которых изложены ключевые риски безопасности, например инъекция подсказок ввода и исполнение кода. Также заложены основы для будущих частей, где будут подробно рассмотрены недостатки исполнения кода, утечки данных и угрозы доступа к базам данных.От автора
ИИ-бот для найма сотрудников McDonald’s раскрыл исследователям данные миллионов соискателей
Cпециалисты по кибербезопасности Иэн Кэрролл и Сэм Карри сообщили, что нашли простые способы взлома бэкенда платформы чат-ботов с искусственным интеллектом на сайте McHire.com, который используют в McDonald's для обработки резюме. В итоге они получили данные миллионов соискателей.
Локальные прокси — новый двигатель цифровых атак
Ключевые тезисы:Провайдеры резидентных прокси и хостинг-компании с «непробиваемыми» серверами (bulletproof hosting) сегодня выступают главными инфраструктурными посредниками в киберпреступном бизнесе.Провайдеры резидентных (локальных) прокси предоставляют миллионы IP-адресов с точной геолокацией, позволяя злоумышленникам обходить антифрод-системы и ИБ-механизмы предприятий, госорганов и торговых платформ.Эффективность блок-листов IP-адресов снижается, поскольку объёмы доступных прокси растут. Это повышает значимость контроля на уровне соединений и сессий
