Всё самое важное из мира кибербезопасности за неделю — без воды, только мясо.
Это издание подготовлено командой ONSEC — экспертов в области пентестов и охотников за настоящими уязвимостями. Мы отсеиваем шум и приносим вам только то, что имеет значение.
🔥 Актуальные эксплойты
- Apple Zero-Day в Image I/O (CVE-2025-43300) – Apple выпустила срочные обновления для iOS, iPadOS и macOS, устраняющие ошибку записи за пределами буфера, активно эксплуатируемую в целевых атаках. Уязвимость позволяла выполнять произвольный код через вредоносные изображения. Apple предупредила, что атака была частью «чрезвычайно сложной» кампании. Это уже седьмой zero-day в Apple за год. Источник: BleepingComputer
- Fortinet FortiWeb Auth Bypass (CVE-2025-52970) – Критическая уязвимость в веб-фаерволах FortiWeb позволяет атакующему подделывать учетные записи любых пользователей, включая администраторов. Ошибка связана с некорректной обработкой cookies (“FortMajeure”). Патчи вышли 12 августа. Источник: BleepingComputer
- Trend Micro Apex One RCE (CVE-2025-54948/54987) – Две критические уязвимости (CVSS 9.4) в консоли Apex One эксплуатировались спонсируемыми государством группами. Они позволяют удаленное выполнение кода без аутентификации. Обновления выпущены в середине августа. Источник: SecurityAffairs
- N-able N-central 0-days (CVE-2025-8875/8876) – Более 800 серверов остаются незащищенными от двух критических уязвимостей (инъекция команд и небезопасная десериализация). CISA обязало федеральные агентства США обновиться до 20 августа. Источник: BleepingComputer
- DaVita Healthcare – атака программ-вымогателем – Компания DaVita сообщила о взломе, в результате которого скомпрометированы данные 2,7 млн пациентов. Потери составили около $13,5 млн. Источник: Reuters
🛡️ Уязвимости и обновления
- Commvault Pre-Auth RCE Chains – В Commvault устранены четыре уязвимости (в версиях <11.36.60), которые в комбинации позволяют выполнить код без авторизации. Источник: The Hacker News
- Chrome 139 – исправления ошибок AI-поиска – Google устранил критическую уязвимость в движке V8 (CVE-2025-9132), найденную ИИ-агентом Big Sleep. Источник: SecurityWeek
- Mozilla Firefox и Thunderbird – В Firefox 142 и Thunderbird 115.2 закрыты девять критических дыр, включая обход same-origin и уязвимости памяти. Источник: SecurityWeek
- SAP NetWeaver – опубликован эксплойт – В сеть выложен полностью рабочий эксплойт для CVE-2025-31324 и CVE-2025-42999. Уязвимости были исправлены еще в апреле, но неподготовленные системы под угрозой. Источник: SecurityAffairs
🎧 Лучшие подкасты недели по кибербезопасности
- Cybersecurity Today – “Breaches: Salesforce, Workday, Critical Infrastructure” – Обсуждаются взломы Salesforce и Workday, а также атаки на критическую инфраструктуру. Источник: Cybersecurity Today
- Cloud Security Podcast – EP239: “Linux Security – Where Is My Agentless EDR?” – Гости обсуждают защиту Linux и агентless-EDR-подходы. Источник: Cloud Security Podcast
- AI Today in 5 – “The AI Psychosis Episode” – Обзор пяти новостей об ИИ: от провалов 95% AI-проектов до ограничений в использовании чипов Nvidia в Китае. Источник: Compliance Podcast Network
🧠 Заключение
На этой неделе в кибермире было жарко: уязвимости с максимальным CVSS, баги в AI‑инфраструктуре, и очередные провалы в безопасности критических систем — от поездов до чат-ботов. Эксплойты становятся умнее, атаки — тоньше, а защита требует не просто патчей, а мышления на опережение.
Будьте внимательны. Обновляйтесь вовремя. Читайте между строк.
А мы снова вернёмся через неделю — с фактами, уязвимостями и главными сигналами из мира безопасности. Только суть. Без шума.
web-nash-hleb.com 
Leave a comment