CVE-2025-6554 - это уязвимость Type Confusion в JavaScript-движке Google Chrome V8. Type Confusion - распространенный класс уязвимостей повреждения памяти, которые могут привести к небезопасным операциям с памятью, когда программа неверно интерпретирует один тип данных как другой, что позволяет злоумышленнику выполнить произвольный код на системе жертвы.

В 2025 году безопасность промышленных систем управления столкнется с беспрецедентными вызовами, в основном в виде двустороннего риска технологических инноваций и краж, двойных рисков, связанных с сосуществованием старых и новых технологий, усиления кризиса безопасности цепочки поставок, а также провала уязвимостей "нулевого дня" и стратегий сокрытия.

Уязвимость Apple iMessage Zero-Click позволяет злоумышленнику удаленно скомпрометировать устройство, отправив злонамеренно созданное сообщение iMessage без участия пользователя. Она была использована шпионским ПО Graphite для атак на журналистов.

Уязвимость связана с некорректной работой компилятора V8 TurboFan с динамической загрузкой индексов при выполнении оптимизации удаления магазинов, что приводит к неправильной классификации отношений псевдонимов, некорректному устранению критических операций с магазинами, что в свою очередь приводит к выходу за границы памяти. Злоумышленники могут создавать специально созданные HTML-страницы, чтобы вызвать доступ пользователя, спровоцировать выполнение вредоносного JavaScript-кода, использовать уязвимость для удаленного выполнения кода и выхода из песочницы, а в конечном итоге получить полный контроль над устройством жертвы.

Компания Aim Security обнаружила уязвимость "EchoLeak", которая эксплуатирует недостаток дизайна, характерный для RAG Copilot, позволяя злоумышленнику автоматически похищать любые данные в контексте M365 Copilot, не полагаясь на конкретное поведение пользователя. Основная цепочка атак состоит из трех различных уязвимостей, однако в ходе исследования Aim Labs выявила и другие уязвимости, которые могут позволить использовать уязвимость.

Цифровизация принесла огромные экономические и социальные выгоды, но наша растущая зависимость от цифровых технологий также сопряжена со значительными рисками. Это касается и развивающихся стран, где темпы цифровизации часто опережают необходимые инвестиции и внимание, требуемые для создания киберустойчивости, что может привести к пагубным последствиям.

Закон Китайской Народной Республики о защите личной информации (вступает в силу 1 ноября 2021 года)

Статьи 54 и 64: Обеспечивают базовую правовую основу для проведения проверок соблюдения требований по защите персональной информации, требуя от компаний активного выполнения своих обязательств по проведению проверок и сотрудничества с регулирующими органами.

Правила управления безопасностью сетевых данных (вступают в силу 1 января 2025 года)

Статья 27: Для дальнейшего уточнения требований к аудиту сетевые обработчики данных должны периодически проводить аудиты соответствия, либо самостоятельно, либо с привлечением профессиональных организаций, своей обработки личной информации в соответствии с законами и административными правилами.

Меры по управлению аудитом соответствия в области защиты личной информации (издано 14 февраля 2025 года, вступило в силу 1 мая 2025 года)

Официально введены в действие первые вспомогательные правила для проведения аудита соответствия требованиям защиты персональной информации.

Отчет Global State of DevSecOps Survey Report 2024 раскрывает ключевые тенденции и проблемы в сфере DevSecOps, основанный на опросе более чем 1000 глобальных разработчиков, сотрудников служб безопасности и операционного персонала, и содержит основные данные

82% организации используют 6-20 безопасных инструментов.
Результаты тестирования 60% содержат шумы от 21%-60%.
Только 24% респондентов были "чрезвычайно уверены" в защите кода ИИ.
Организации, входящие в группу 86%, считают, что тестирование безопасности замедляет разработку.

Опубликован новый пример концепции (PoC), идентифицированный как CVE-2025-21298, для уязвимости удаленного выполнения кода (RCE) с нулевым щелчком мыши в Microsoft Outlook в Windows Object Linking and Embedding (OLE).

Недавно была обнаружена уязвимость в популярном программном обеспечении для архивирования файлов 7-Zip (№ CVE-2025-0411) Эта уязвимость позволяет удаленному злоумышленнику обойти механизм защиты Windows Mark-of-the-Web (MOTW), что может привести к выполнению произвольного кода на пораженной системе.