Эксперты MITRE опубликовали обновлённый список самых опасных ошибок в программном обеспечении. В него вошли уязвимости, которые чаще всего приводят к взлому систем, утечкам данных и удалённому выполнению кода.
В верхних строчках рейтинга вновь оказались ошибки, связанные с нарушением контроля доступа, небезопасной обработкой пользовательского ввода и уязвимостями памяти. Среди них: обход авторизации, SQL-инъекции, XSS, небезопасная десериализация и ошибки управления памятью. Эти проблемы годами считаются «классикой», но продолжают массово появляться в новых продуктах и обновлениях.
Особое внимание эксперты обратили на рост уязвимостей, связанных с логикой приложений. Даже при формально корректной архитектуре разработчики часто допускают ошибки в проверках прав, обработке состояний и доверии к данным клиента. Такие баги сложно обнаружить автоматическими сканерами, но именно они всё чаще становятся точкой входа для целевых атак.
Список Top 25 используется не только как справочник, но и как ориентир для бизнеса и разработчиков. Он помогает расставить приоритеты при аудите кода, обучении команд и выборе мер защиты. По оценке специалистов, устранение этих ошибок на раннем этапе разработки способно предотвратить значительную часть инцидентов, которые сегодня расследуют службы ИБ.
Эксперты подчёркивают: несмотря на развитие инструментов и практик безопасной разработки, базовые ошибки по-прежнему остаются главной причиной взломов. Это означает, что проблема лежит не столько в технологиях, сколько в процессах и культуре разработки.
Каширский городской суд вынес приговор участникам схемы мошенничества, связанной с программой Пушкинская карта.
Federal Bureau of Investigation объявило о поиске пользователей, которые могли пострадать от действий хакеров, взломавших аккаунты популярной игровой платформы Steam.
Эксперты по кибербезопасности из Microsoft сообщили о новой вредоносной кампании, в рамках которой злоумышленники распространяют поддельные VPN-клиенты через поисковую выдачу.
Редакция Cyber Media собрала ключевые события из мира кибербезопасности за эту неделю.
Аналитический центр Black Lotus Labs совместно с Министерством юстиции США провел операцию по нейтрализации прокси-сети SocksEscort, построенной на базе вредоносного ПО AVRecon.
Google выпустила внеплановое обновление стабильной ветки Chrome, закрывающее две критические уязвимости, которые, по данным компании, уже эксплуатируются в реальных кибератаках.
Исследователи Qualys Threat Research Unit обнаружили девять уязвимостей в модуле безопасности AppArmor, которые существовали с 2017 года и затрагивают более 12,6 млн систем по всему миру.
Более 200 представителей российских компаний ежегодно принимают участие в Security Summit — руководители ИБ, ИТ-директора и представители бизнеса.
Аналитики «Контур Фокуса» и «Контур Эгиды» представили исследование российского рынка информационной безопасности, охватывающее период с 1 марта 2024 по 1 марта 2026 года.
В 2026 году основным инструментом борьбы с технологическими подсказками на едином госэкзамене станут системы подавления сотовой связи.
