В широко используемой библиотеке сжатия данных zlib обнаружена серьёзная уязвимость переполнения глобального буфера, которая может привести к сбою программ (DoS) и в определённых условиях - к удалённому выполнению произвольного кода. Проблема получила идентификатор CVE-2026-22184 и высокий рейтинг опасности 9,3 по шкале CVSS.
Уязвимость проявляется в обработке длинных имён файлов функцией TGZfname(), отвечающей за разбор архивов формата TGZ. Из-за отсутствия проверки длины входных данных происходит запись за пределы выделенного буфера, что нарушает целостность памяти и может быть использовано злоумышленниками для атаки на систему.
Эксплойт для злоупотребления этой ошибкой не требует сложной структуры файла: достаточно передать в командной строке аргумент с превышающей длиной имени, чтобы вызвать переполнение и падение целевого процесса. Проблема усугубляется тем, что код уязвимой функции обрабатывает вход до валидации содержимого архива, что делает сценарии атаки более простыми.
Уязвимости подвержены все сборки zlib до версии 1.3.1.2 включительно. В качестве временной меры администраторам и разработчикам рекомендуется ограничить использование утилиты untgz или временно удалить соответствующий пакет до выхода исправленной версии библиотеки.
Специалисты по безопасности подчёркивают, что поскольку zlib широко применяется во многих приложениях и системах, эта уязвимость может затронуть большое количество серверов и конечных устройств, и поэтому своевременное обновление является критически важным.
22 апреля 2026 года в Москве пройдет четвертая межотраслевая конференция для руководителей ИБ-служб.
Компания Google выпустила экстренное обновление браузера Google Chrome, устраняющее две уязвимости нулевого дня, которые уже активно эксплуатировались злоумышленниками.
Исследователи безопасности обнаружили новую технику атаки на ИИ-агентов, позволяющую похищать данные с помощью так называемой косвенной prompt-инъекции.
Эксперты по кибербезопасности из IBM сообщили о появлении новой группы вымогателей Slopoly, которая активно применяет инструменты искусственного интеллекта для подготовки и проведения атак.
В даркнете появилась база данных и исходный код, предположительно относящиеся к инфраструктуре шведской платформы электронного правительства.
В России появились признаки начала блокировки мессенджера Telegram: пользователи по всей стране сообщают о масштабных сбоях в работе сервиса, а эксперты связывают происходящее с возможным введением ограничительных мер со стороны регуляторов.
Компания Telus Digital подтвердила инцидент безопасности после того, как хакер заявил о масштабной краже данных.
Социальная сеть Instagram* начала внедрение сквозного шифрования в личных сообщениях, новая функция должна повысить уровень конфиденциальности переписки и защитить сообщения пользователей от доступа третьих лиц.
Специалисты по кибербезопасности заявили о взломе внутренней ИИ-платформы консалтинговой компании McKinsey & Company.
UserGate, российский разработчик решений в области информационной безопасности, запустил проект «Совместная техническая поддержка» — новую модель сервисного сопровождения клиентов совместно с сертифицированными партнерами.
