Апрель оказался щедрым на неприятности: специалисты по ИБ выявили 113 уязвимостей в базовых Linux-утилитах, обнаружили дыру в песочнице Flatpak и критические ошибки в популярных браузерах. И это ещё не всё. Вдобавок — бэкдор в 30 плагинах WordPress, атака на цепочку поставок в Python-пакете с миллионом загрузок и новый российский RAT-троян с пранками. В подборке коротко рассказываем о том, что и где сломалось, кто под ударом и как не стать жертвой.
Обнаружено 113 уязвимостей в Rust Coreutils
В Rust Coreutils (uutils), которые используются в Ubuntu, независимый аудит выявил 113 уязвимостей, включая критические. В связи с этим в Ubuntu 26.04 от GNU Coreutils вернули утилиты cp, mv и rm.
Наиболее опасные уязвимости позволяют злоумышленнику выполнить код с правами root или разрушить систему:
chroot:если пользователь может писать в новый корень, он подставляет свои NSS-библиотеки (из-за того, чтоchroot()срабатывает раньше сброса привилегий и загрузки модулей NSS).mkfifo: при попытке создать именованный канал в существующем файле утилита не завершается, а меняет права этого файла на644 (rw-r--r--), открывая доступ к файлам, для которых не было разрешено чтение.chmod: обход защиты --preserve-root через путь /../ или символическую ссылку на корень — можно рекурсивно изменить права доступа во всей ФС.rm: обработка любых сокращений опции --no-preserve-root (например, rm -rf --n /), а также подстановка символической ссылки на / или пути ./, /// для удаления текущего каталога.kill: указание идентификатора процесса -1 отправляет сигнал сразу всем процессам в системе.
Также выявлено много уязвимостей класса TOCTOU (состояния гонки), когда между проверкой и операцией подменяют файл на символическую ссылку — это позволяет, например, перезаписать произвольные файлы из скриптов, запущенных от root.
В Ubuntu 26.04 для cp, mv и rm уже возвращены версии из GNU Coreutils. Большинство найденных уязвимостей устранено в выпусках uutils 0.5–0.8, поэтому рекомендуем как можно скорее обновиться.
Ошибка в API IndexedDB позволяет сайтам отслеживать действия пользователей Firefox и Tor Browser
В браузерах на движке Gecko (Firefox, Tor Browser и др.) нашли уязвимость (CVE-2026-6770). Она позволяет сайтам создавать уникальный отпечаток браузера и отслеживать активность пользователя на сайтах.
Атака работает так. Сайты создают через IndexedDB один и тот же набор баз данных. Затем вызывают метод indexedDB.databases(), который возвращает список этих баз. Их порядок не зависит от имён или времени создания, а определяется внутренним устройством конкретного экземпляра браузера. Для каждого запущенного браузера этот порядок свой, но он одинаков для всех сайтов, которые пользователь открывает в рамках одной сессии. Порядок сохраняется до перезапуска браузера, и на него не влияют очистка локальных хранилищ или смена Tor-цепи («New Identity»). Атака работает даже в режиме приватного просмотра.
Уязвимость уже исправлена. Чтобы защититься, обновите браузер до версии:
- Firefox 150 или 140.10.0 (в зависимости от ветки)
- Tor Browser 15.0.10
Критические уязвимости в Chrome
В Chrome нашли 5 критических уязвимостей, которые позволяют обойти песочницу и выполнить вредоносный код в системе. Кроме того, браузер оказался уязвим для множества методов скрытой идентификации пользователей.
Критические уязвимости связаны с выходом за границы буфера в компонентах ANGLE и Skia, а также с обращением к уже освобождённой памяти (use-after-free) в механизме предварительной отрисовки Prerender, в XR-компонентах для виртуальной реальности и в реализации Proxy-объектов.
Методы скрытой идентификации собирают косвенные признаки: разрешение экрана, установленные шрифты, MIME-типы, заголовки HTTP/2 и HTTP/3, особенности отрисовки через WebGL, Canvas и WebGPU, утечку локального IP через WebRTC, список поддерживаемых расширений TLS, отображение Emoji, показания датчиков, подключённые Bluetooth/USB/HID-устройства, производительность системы, CSS-правила, историю посещений и даже установленные расширения браузера. Также используются «суперкуки» — например, кэш иконок Favicon или база автозаполнения форм. В Chrome почти нет встроенной защиты от таких методов.
Чтобы защититься от вероятных атак, обновите Chrome до версии 147.0.7727.101. Для блокировки скрытой идентификации можно установить браузерные дополнения, которые используют скрипты обработки контента, отладочный API (chrome.debugger) и перехват сетевых запросов (chrome.webRequest).
Уязвимость во Flatpak, позволяющая выполнить код вне изолированного окружения
Опубликованы корректирующие выпуски Flatpak 1.16.4 и 1.17.4, в которых устранена критическая уязвимость (CVE-2026-34078, 9.3 из 10), позволяющая вредоносному приложению обойти sandbox-изоляцию, получить доступ к файлам основной системы и выполнить произвольный код вне изолированного окружения.
Сервис flatpak-portal позволяет приложению указывать в опции sandbox-expose пути, которые могут быть символическими ссылками на произвольные части ФС. Сервис раскрывает ссылку и монтирует целевой путь в sandbox-окружение, давая доступ на чтение и запись к файлам хост-системы. Для выполнения кода можно, например, добавить автозапускаемый скрипт (вроде ~/.bashrc) или изменить ~/.ssh/authorized_keys.
Чтобы защитить свои системы, отключите сервис flatpak-portal командой:
sudo systemctl --global mask flatpak-portal.service && systemctl --user stop flatpak-portal.serviceДве угрозы в экосистеме Python
В апреле выявили две важные уязвимости.
В стандартных библиотеках сжатия CPython (lzma, bz2, gzip) нашли критическую уязвимость (CVE-2026-6100, 9.1 балла). При распаковке специально оформленных данных и нехватке памяти может возникнуть обращение к уже освобождённой памяти (use-after-free), что приводит к утечке информации или выполнению кода атакующего. Подробности можно почитать здесь. Исправление пока только в виде патча.
Вторая проблема — атака на цепочку поставок. В пакет elementary-data (1,1 млн загрузок в месяц) через скомпрометированный GitHub Actions внедрили вредоносный код. В релизе 0.23.3, доступном для скачивания более 11 часов, при установке активировался base64-код. Он похищал SSH-ключи, данные из переменных окружения, пароли от БД, учётные данные от облачных сервисов (AWS, GCP, Azure, K8s), криптокошельки и другую конфиденциальную информацию. Подробнее здесь.
Бэкдор в 30 плагинах WordPress мог заразить тысячи сайтов через штатные обновления
Специалисты по ИБ обнаружили, что более 30 плагинов WordPress из пакета EssentialPlugin скомпрометированы. Выяснилось, что в них ещё в 2025 году внедрили бэкдор, который через штатные обновления распространился на тысячи (потенциально сотни тысяч) сайтов. Недавно малварь активировали.
После активации бэкдор связывался с внешним сервером (используя адресацию через Ethereum-блокчейн) и скачивал файл wp-comments-posts.php, который встраивал вредоносный код в wp-config.php. По команде злоумышленников малварь генерировала спам-ссылки, редиректы и фейковые страницы, видимые только Googlebot. Бэкдор активировался при условии, что эндпоинт analytics.essentialplugin.com возвращал вредоносный контент.
Сейчас скомпрометированные плагины заблокированы, WordPress.org отправил принудительное обновление, нейтрализующее бэкдор и обрывающее связь с C2. Однако оно не очищает wp-config.php — файл нужно проверить вручную. Также следует искать файл wp-comments-posts.php (не путать с легитимным wp-comments-post.php). Малварь может скрываться и в других местах.
CrystalX RAT: новый MaaS-троян для кражи данных и пранков над жертвами
Эксперты «Лаборатории Касперского» обнаружили троян удалённого доступа CrystalX RAT (ранее назывался Webcrystal RAT). Вредонос распространяется по модели MaaS (Malware-as-a-Service) и нацелен преимущественно на российских пользователей. Он совмещает функции RAT, стилера, кейлоггера, клиппера и шпионского ПО, а также умеет выполнять prankware-действия (менять обои и кнопки мыши, переворачивать экран, отправлять сообщения жертве). У малвари есть собственный телеграм-канал и даже YouTube-аккаунт с видео, которые обучают использованию вредоноса.
Панель управления CrystalX позволяет клиентам собирать собственную уникальную версию трояна с широкими возможностями настройки: можно включить фильтрацию жертв по стране, выбрать иконку для исполняемого файла, подключить защиту от анализа и другие опции.
Готовый имплант сжимается с помощью zlib, а затем шифруется потоковым шифром ChaCha20 с 256‑битным ключом и 96‑битным одноразовым кодом. Кроме того, CrystalX умеет обнаруживать виртуальные машины и проверять, не запущен ли он в тестовой или отладочной среде, что затрудняет его обнаружение.
После заражения вредонос крадёт учётные данные из Steam, Discord, телеграма и всех браузеров на движке Chromium, а также мониторит буфер обмена, подменяя скопированные адреса криптокошельков на адреса злоумышленников. Троян оснащён клавиатурным шпионом (кейлоггером) и обеспечивает полный удалённый контроль над устройством жертвы: доступ к экрану, камере и микрофону с возможностью записи видео и звука. Помимо этого, CrystalX может выполнять пранк-функции.
Для защиты от трояна специалисты рекомендуют стандартные меры цифровой гигиены:
- Обращать внимание на странное поведение (поворот экрана, блокировка клавиатуры/мыши, необычные уведомления). При подозрении — отключить компьютер от сети и интернета, установить антивирус с флешки.
- Скачивать программы только с официальных сайтов, избегать взломанного ПО.
- Осторожно относиться к файлам из мессенджеров (особенно архивам с паролями).
- Включить двухфакторную аутентификацию.
- Регулярно обновлять ОС и приложения.
- Использовать защитное решение, которое обнаруживает и обезвреживает CrystalX.
Возможно, вам будет интересно
