«Хакер»

Для подписчиков
XSLT-инъекции — редкий, но крайне опасный класс уязвимостей. Найдя их, злоумышленник может использовать особенности обработки XML и XSLT, чтобы читать и записывать файлы на сервере или добиться выполнения кода. В этом разборе покажем, как такая уязвимость позволяет полностью скомпрометировать систему.

Исследователи RKS Global протестировали восемь популярных альтернативных Telegram-клиентов для Android и выяснили, что три из них отправляют пользовательские данные на серверы в России, где к ним могут получить доступ силовые структуры.

Правоохранительные органы США, Германии и Канады провели совместную операцию и отключили управляющую инфраструктуру четырех крупнейших IoT-ботнетов — Aisuru, Kimwolf, JackSkid и Mossad.

В конце прошлой недели Telegram-канал Mash сообщил, что провайдеры домашнего интернета в Москве якобы срочно внедряют систему «белых списков» — аналогичную той, что уже работает на мобильных сетях. Представители Минцифры и операторов связи опровергли эту информацию и назвали публикацию «фейком».

Для подписчиков
Трафик на Харбор‑фривей сегодня был неожиданно интенсивным: казалось, уставшие от внезапно свалившейся на город жары обитатели Лос‑Анжелеса решили разом рвануть на природу, туда, где воздух был чище, а пальмы бросали длинные тени на разогретый песок. Из‑за плотного движения дорога, которая обычно занимала от силы минут пятнадцать, растянулась на целых полчаса.

Второй в 2026 году выпуск ежеквартального «Хакера» уже готовится к печати, и мы открываем предварительные заказы! На время сбора предзаказов цена составит 1200 рублей. После выхода журнала из типографии стоимость возрастет, так что сейчас лучшее время, чтобы забронировать свой экземпляр.

В Интерполе подсчитали, что ИИ повышает прибыль мошенников в 4,5 раза. Потери от финансового мошенничества в 2025 году составили около 442 млрд долларов США, и в организации ожидают, что эта цифра будет расти, в первую очередь благодаря искусственному интеллекту.

23 марта в Москве состоится бесплатная конференция «Приватность и Децентрализация: Тренды 2026», организованная сообществом DeFrens совместно с Dash. Спикеры из Dash, «Сбера», «Шард», Symbiosis и Сколтеха обсудят будущее приватных криптовалют, анализ транзакций, MPC в централизованных финансах и применение децентрализации в вычислительных сетях.

В дефолтных установках Ubuntu Desktop 24.04 и новее нашли серьезную уязвимость (CVE-2026-3888, 7,8 балла по шкале CVSS), которая позволяет локальному атакующему повысить привилегии до уровня root.

Для подписчиков
Есть такой профессиональный рефлекс у людей, которые долго работают в безопасности: когда тебе говорят «установи приложение по ссылке», внутри что‑то сжимается. Годы работы с инцидентами вырабатывают здоровую паранойю. Но сегодня этот рефлекс перестал работать. Потому что теперь «установи по ссылке» выглядит точно так же, как «открой сайт» и «подтверди действие в браузере».