Исследователи Edera сообщили о новой уязвимости CVE-2025-62518, получившей название TARmageddon. Ошибка затрагивает библиотеку async-tar и её популярные форки, включая tokio-tar, которые используются для обработки TAR-архивов в проектах на Rust.
Проблема, допускающая работу уязвимости заключается в неверной интерпретации PAX-заголовков: при определённых условиях парсер может принять часть содержимого файла за новые заголовки и позволить злоумышленнику внедрить дополнительные файлы при распаковке. Это создаёт риск подмены данных и выполнения произвольного кода на системе, где выполняется распаковка архива.
По данным Edera, уязвимость получила высокий рейтинг опасности - CVSS 8.1. Особую тревогу вызывает тот факт, что один из наиболее распространённых форков, tokio-tar, фактически заброшен и давно не получает обновлений. Из-за этого оценить масштаб последствий крайне сложно: уязвимые компоненты могут быть встроены в цепочки поставок, CI/CD-процессы, инструменты контейнеризации и менеджеры пакетов.
Разработчикам рекомендовано проверить зависимости своих проектов и обновиться на исправленные версии библиотек. В частности, форк astral-tokio-tar начиная с версии 0.5.6 содержит патч, закрывающий дыру. Если обновление невозможно, эксперты советуют ограничить права на запись при распаковке архивов и выполнять операции в изолированных средах.
TARmageddon вновь показывает, что даже код на Rust не гарантирует полной защиты от логических ошибок, и что зависимость от заброшенных библиотек может превратиться в серьезный риск для всей цепочки поставок.
Каширский городской суд вынес приговор участникам схемы мошенничества, связанной с программой Пушкинская карта.
Federal Bureau of Investigation объявило о поиске пользователей, которые могли пострадать от действий хакеров, взломавших аккаунты популярной игровой платформы Steam.
Эксперты по кибербезопасности из Microsoft сообщили о новой вредоносной кампании, в рамках которой злоумышленники распространяют поддельные VPN-клиенты через поисковую выдачу.
Редакция Cyber Media собрала ключевые события из мира кибербезопасности за эту неделю.
Аналитический центр Black Lotus Labs совместно с Министерством юстиции США провел операцию по нейтрализации прокси-сети SocksEscort, построенной на базе вредоносного ПО AVRecon.
Google выпустила внеплановое обновление стабильной ветки Chrome, закрывающее две критические уязвимости, которые, по данным компании, уже эксплуатируются в реальных кибератаках.
Исследователи Qualys Threat Research Unit обнаружили девять уязвимостей в модуле безопасности AppArmor, которые существовали с 2017 года и затрагивают более 12,6 млн систем по всему миру.
Более 200 представителей российских компаний ежегодно принимают участие в Security Summit — руководители ИБ, ИТ-директора и представители бизнеса.
Аналитики «Контур Фокуса» и «Контур Эгиды» представили исследование российского рынка информационной безопасности, охватывающее период с 1 марта 2024 по 1 марта 2026 года.
В 2026 году основным инструментом борьбы с технологическими подсказками на едином госэкзамене станут системы подавления сотовой связи.
