| 1.1, Аноним (1), 14:06, 28/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| –9 +/– |
Не, вернняк, Михос 5 тут не причем. Кожаные инженеры во все тысячи глаз рассмотрели кучу зеро-дей.
| | |
| |
| |
| 3.9, Аноним (1), 14:26, 28/06/2026 [^] [^^] [^^^] [ответить]
| +4 +/– |
С КВН понятно,анонимности не существует в цифровом мире, а Раст уже устарел даже концептуально.
| | |
| |
| 4.20, Аноним (20), 15:20, 28/06/2026 [^] [^^] [^^^] [ответить]
| +2 +/– |
Да еп, хорошо же сидели. Только-только дошел до структур раста в книжке, уже про кортежи знаю и кто такой этот боровер, а тут на тебе - всё зря. И что там в итоге модное молодёжное не устаревшее, чтобы и конпелялось и были дополнительные проверки типа Verus.
| | |
| |
| 5.140, Проходил мимо (?), 12:16, 30/06/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Пфф. Тут полно людей, которые не смогли осилить Rust и хают его изо всех сил, чтобы прикрыть свою отрицательную гениальность.
PS Если вы дошли в книжке по Rust до структур то сейчас самое время узнать, что такое std::mem::replace() - пригодится 100%. В книжке, скорее всего, про это не будет, поэтому подсказывают так, от чистого сердца.
| | |
| |
| 6.142, YetAnotherOnanym (ok), 16:34, 30/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
 Гы, "не смогли осилить"... Тут полно людей, которые посмотрели на энтузиастов Раста и решили, что превращаться в такое - спасибо, пожалуй воздержимся.
| | |
|
|
| 4.55, myster (ok), 18:23, 28/06/2026 [^] [^^] [^^^] [ответить]
| +2 +/– |
 > С КВН понятно,анонимности не существует в цифровом мире,
В данной уязвимости OpenVPN что вам конкретно понятно?
Надо же, запуск произвольной команды или скрипта называют "уязвимостью"...
В других VPN-клиентах это подаётся, как фича, а не уязвимость. Для справки, почти все популярные VPN-клиенты позволяют добавить запуск произвольной команды на стороне клиента. И да, это вызывает опасения у тех, кто понимает опасность, но тем не менее вендорам VPN как-то пофиг на эти опасения.
| | |
| 4.89, Прохожий (??), 01:32, 29/06/2026 [^] [^^] [^^^] [ответить]
| +6 +/– | |
>Раст уже устарел даже концептуально
В чём конкретно это проявляется? На всякий случай повторю банальную для любого адекватного человека истину: Rust не даёт гарантий на отсутствие логических ошибок. Я понимаю, что адекватных на этом ресурсе не слишком много, но всё же хочется верить в лучшее.
| | |
|
| 3.76, Аноним (76), 22:12, 28/06/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
Да вообще нет там ничего смачного. 23 уязвимости и ничего такого что бы использовали нормальные люди.
Много шума, реклама очередного ИИшака - если вчитаться, ничего серьезного. Даже нечего обновлять.
| | |
| 3.139, ryoken (ok), 11:47, 30/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
 "Уязвимость в OpenVPN Connect для Windows"
Србж - гнусное поделие невменяемых размеров андроиднотелефонного вида. ВВместо него давно есть OpenVPN Community, на порядок меньший по габаритам и делающий ровно то, что и должен. Я уж думал, в самом сервере OpenVPN дыр нашли.
| | |
|
| |
| 3.129, Аноним (129), 16:39, 29/06/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
Углеродные ищут там, где критично. Потому что умеют расставлять приоритеты. А кремниевый ищет, где найдёт. А полезна или бесполезна находка, хотя бы одна из тысячи, это пусть целые департаменты и ассоциацции углеродных разребают, если им заняться больше нечем, как кремниевого, с его загонами, обслуживать.
| | |
|
|
| 1.2, Аноним (2), 14:08, 28/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| –5 +/– |
Вроде про переполнение буффера ничего нет, значит сишка - ТРУЪ язык!
| | |
| |
| |
| 3.67, Аноним (67), 21:04, 28/06/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
Это неважно. Для генерации всех превьюх в файловых менеджерах используется он. Соответсвтенно, любой такой файл прокинет тебе шел на тачку.
| | |
| |
| 4.90, Аноним (76), 01:45, 29/06/2026 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>Соответствтенно, любой такой файл прокинет тебе шел на тачку.
Не ему, а тебе! У тех кто головой не только ест, в файловых менеджерах ни какого превью не происходит.
| | |
|
|
| 2.10, Аноним (10), 14:35, 28/06/2026 [^] [^^] [^^^] [ответить]
| +7 +/– |
 > Вроде про переполнение буффера ничего нет, значит сишка - ТРУЪ язык!
Первым же пунктом:
> Переполнение буфера в мультимедийном пакете FFmpeg,
...
objdump:
https://github.com/4D4J/objdump-Out-Of-Bounds-write
> // bfd/elf32-dlx.c — elf32_dlx_relocate26()
> insn = bfd_get_32(abfd, data + reloc_entry->address); // OOB read
Ну и остальные из похожей оперы "UB-грабли и их правильный обход, попытка 100500"
> Две уязвимости в библиотеке libssh2, вызванные целочисленными переполнениями
> Уязвимость (use-after-free) в DNS-библиотеке c-ares,
> Уязвимость в сетевом сканере nmap, приводящая к целочисленному переполнению
И ведь ЧСХ весь список: или ошибка в логике на не-сишном-ЯП или вылезание за пределы буфера или неправильное сложение чисел на ней самой, родимой.
| | |
|
| 1.3, Аноним (3), 14:08, 28/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
>на момент публикации эксплоитов информация о проблемах не была сообщена разработчикам уязвимых проектов
Мда... И чего хотел добиться ?
| | |
| |
| |
| 3.80, Аноним (80), 22:55, 28/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Вероятно, пиарит либо модель, либо себя
Себя-то как, он же анонимный исследователь.
| | |
|
| |
| |
| 4.22, Аноним (5), 15:40, 28/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> При чём тут должен или нет, вопрос в другом был.
Ответ в этом.
| | |
|
|
| 2.26, Аноним (-), 15:52, 28/06/2026 [^] [^^] [^^^] [ответить]
| +2 +/– |
>I PROMISE THE WAIT WILL BE WORTH IT! After this, you guys will usually get one new PoC a day
>If you wish to collaborate/discuss with me, contact me on discord @ashdfrkl
может он хочет общения и новых контактов
| | |
| 2.32, Аноним (32), 16:42, 28/06/2026 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> Мда... И чего хотел добиться ?
того, что в большинстве случаях это явным образом добавленные бекдоры. Отсюда вопрос, вам сообщают когда добавляют новую порцию бекдоров? Нет? А чего вы хотите от разоблачителя?
| | |
| |
| |
| 4.39, Аноним (32), 17:14, 28/06/2026 [^] [^^] [^^^] [ответить] | +/– | Уязвимость use-after-free в DNS-библиотеке c-ares, приводящая к запуску кода з... большой текст свёрнут, показать | | |
| |
| 5.42, Аноним (3), 17:25, 28/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>достаточно?
Достаточно копировать то, что и так написано в посте.
| | |
| |
| 6.44, Аноним (32), 17:38, 28/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Достаточно копировать то, что и так написано в посте.
а что там написано? ЫЫ боты копировать не умеют, покажи, что ты не ЫЫ-шный бот.
| | |
|
| 5.96, Ivan_83 (ok), 06:14, 29/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
 Вот скажи мне: нафига бэкдор в objdump, которым пользуется полторы калеки на планете?
| | |
|
|
|
| 2.38, Аноним (38), 17:13, 28/06/2026 [^] [^^] [^^^] [ответить]
| –2 +/– |
Всё правильно сделал. Все эти соевые рекомендации об "отвественном" раскрытии уязвимостей были бесполезны и до ИИ. А теперь они бесполезны четырежды. Если корпа вам не готова заплатить за эмбарго да хотя бы 1000$ в день, публикуйте сразу, с рабочими прототипами эксплоитов. Шансы что никто больше не догадался там посмотреть околонулевые. Так что либо в паблик сразу, либо чуть позже, но за деньги.
| | |
| |
| 3.46, Аноним (3), 17:39, 28/06/2026 [^] [^^] [^^^] [ответить]
| +3 +/– | |
>Если корпа вам не готова заплатить за эмбарго да хотя бы 1000$ в день
О да, борец с корпами, например такими как FFmpeg, 7zip, VLC.
Ну борец прям. Обычно те кто называет кого-то "соевыми" сам обычно оказывается... как бы так сказать, да ладно.
| | |
| 3.48, Аноним (-), 17:48, 28/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>публикуйте сразу, с рабочими прототипами эксплоитов
в некоторых юрисдикциях может быть а-та-та
| | |
| |
| 4.58, Аноним (32), 19:13, 28/06/2026 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> в некоторых юрисдикциях может быть а-та-та
ну ка пример такой юрисдикции в студию
| | |
|
|
| 2.98, Аноним (98), 08:41, 29/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
Это означает что САМ автор не сообщил, но не что разработчикам не известно. Вполне могли узнать даже раньше, а возможно и уже исправить. Потому нужно скорей-быстрей заявить, пока есть о чём.
| | |
|
| 1.13, Аноним (13), 14:49, 28/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Чем безопаснее язык, тем абсурднее уязвимости:
> PHP, вызванная неправильной обработки типов (Type Confusion) и позволяющая добиться выполнения своего кода при обработке HTTP-ответа от вредоносного SOAP-сервера. | | |
| 1.14, АДмин (?), 14:50, 28/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
Сколько комментаторов с ОпенНета проэксплуатировали хоть одну уязвимость и отписались что да всё работает !
0 Карл 0
| | |
| 1.21, Аноним (-), 15:24, 28/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>По словам исследователя, на момент публикации эксплоитов информация о проблемах не была сообщена разработчикам уязвимых проектов
На Github исследователь пишет "Cybercrime is cringe", при этом публикует 0-day эксплоиты
Всё ок?
| | |
| |
| 2.27, devrdskc0t0d0s1 (-), 15:55, 28/06/2026 [^] [^^] [^^^] [ответить]
| +3 +/– |
Правильно, и ещё как. Иначе - разработчики не зашевелятся, либо информацию могут просто скрыть, либо подать ложную. Чем больше начнут подобного делать, тем быстрее начнут подобное фиксить, и даже, может, грамотно писать код, ещё и минималистичный.
| | |
| 2.41, Аноним (32), 17:17, 28/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> при этом публикует 0-day эксплоиты
для вас это крайм? Крайм, когда вам в лицо врут, что олл сейф :)
| | |
| |
| 3.45, Аноним (-), 17:39, 28/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>для вас это крайм? Крайм
Крайм [в части юрисдикций] следует после публикации 0-day эксплоитов
| | |
| |
| 4.59, Аноним (32), 19:14, 28/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Крайм [в части юрисдикций] следует после публикации 0-day эксплоитов
давай конкретнее, где и в какой юрисдикции, выше такой же комент.
| | |
| |
| 5.65, Аноним (65), 20:44, 28/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> давай конкретнее, где и в какой юрисдикции, выше такой же комент.
США, например
обычно называют киберпреступлениями
| | |
| |
| 6.84, Аноним (32), 23:22, 28/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>обычно называют киберпреступлениями
ты определение киберпреступления в США дай сначала (по всем штатам)
| | |
| |
| 7.85, Аноним (85), 23:38, 28/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> ты определение киберпреступления в США дай сначала (по всем штатам)
вы их сами можете посмотреть в соответствующих справочниках
(если вас интересуют точные по юрисдикциям)
| | |
| |
| 8.88, Аноним (32), 01:15, 29/06/2026 [^] [^^] [^^^] [ответить] | +/– | ясно, в том то и дело их нет, нет статей за нульдеи, по которым срок мотаешь, та... текст свёрнут, показать | | |
|
|
|
|
|
|
| 2.100, Аноним (100), 09:26, 29/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
Да, всё ок. Пока он эти эксплоиты сам не использует кроме как в исследовательских целях, состава преступления нет.
| | |
| |
| 3.113, Аноним (-), 14:05, 29/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>Да, всё ок. Пока он эти эксплоиты сам не использует кроме как в исследовательских целях, состава преступления нет.
Состав преступления наступает при эксплуатации уязвимостей, пока дыры ещё не заделаны
И наступает тот самый "Cybercrime is cringe", о нотором пишет исследователь
В статье же написано "на момент публикации эксплоитов информация о проблемах не была сообщена разработчикам уязвимых проектов"
| | |
|
| 2.128, Аноним (129), 16:32, 29/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
Он их публикует, а не использует. Всё ОК. Лучше было, если б скрыл?
| | |
| |
| 3.138, Аноним (138), 23:42, 29/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>Лучше было, если б скрыл?
Лучше было бы, если бы не было противоречий [в контексте "на момент публикации эксплоитов информация о проблемах не была сообщена разработчикам уязвимых проектов"]
Либо он не пишет что cybercrime это кринж
Либо уведомляет разработчиков уязвимых проектов об уязвимости
Потому что после публикации 0-day заинтересованные в эксплуатации уязвимостей [по природе так] воплощают тот самый cybercrime
[и наступает [мнение исследователя] кринж]
| | |
|
| 2.132, Аноним (132), 17:37, 29/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
Когда вы видите очередной жаркий спор в ИТ-сообществе, сделайте первый шаг — определите истинную мотивацию сторон. Обычно люди защищают радикальные сливы не потому, что это объективно безопасно, а из-за накопленной обиды на корпорации (которые годами игнорируют независимых исследователей и не платят Bug Bounty). Понимание этой эмоции сразу объясняет, почему их аргументы так далеки от логики.
| | |
|
| 1.31, Аноним (33), 16:41, 28/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Если уязвимость "зеро-дэй" - 0-day, никаких отпусков и праздников! Всем латать дыры!
| | |
| 1.56, Аноним (56), 19:07, 28/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
>Уязвимость в OpenVPN Connect для Windows, позволяющая добиться выполнения кода на стороне клиента при подключении к вредоносному VPN-серверу
Не могу представить себе более-менее реалистичный сценарий, как заставить нормального пользователя (не дебила) подключать OVPN к вредоносному VPN-серверу.
| | |
| |
| 2.92, Аноним (-), 02:53, 29/06/2026 [^] [^^] [^^^] [ответить]
| +2 +/– |
Есть, но в таких сценариях юзер обычно даже и не в курсе, что у него OpenVPN есть и куда-то подключается. Там просто по ссылке с каналов дискордовских экзешник качают, жмут "да, да, дать админа" и сидят играют во всякие проекты неизвестного авторства по реинкарнации удушенных игр.
| | |
| |
| 3.131, Аноним (8), 17:37, 29/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Там просто по ссылке с каналов дискордовских экзешник качают, жмут "да, да, дать админа"
Или гуглят "как запустить васяптик", по ссылке экзешник качают, жмут "да, да, дать админа"...
| | |
|
| 2.93, Аноним (93), 05:42, 29/06/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
>>Уязвимость в OpenVPN Connect для Windows, позволяющая добиться выполнения кода на стороне клиента при подключении к вредоносному VPN-серверу
> Не могу представить себе более-менее реалистичный сценарий, как заставить нормального
> пользователя (не дебила) подключать OVPN к вредоносному VPN-серверу.
Нюанс в том, что нужно знать какой VPN-сервер не_вредоносный. А не_вредоносные сервера иногда конвертируются какой нибудь нейронкой (типо Fable) во вредоносные, без согласия владельца.
| | |
| 2.101, Аноним (100), 09:28, 29/06/2026 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Вообще легко. "Бесплатный супер-VPN, обходит все блокировки!"
Там даже подключать ничего не надо, достаточно импортировать конфиг.
| | |
|
| 1.86, RM (ok), 00:30, 29/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > Анонимный исследователь ...
> I DO actually have a degree in the subject and have published multiple papers on fuzzing methodology.
Чо то он плохо заанонился, вычислить по такой заявке несложно мне кажется
| | |
| 1.91, Аноним (91), 02:53, 29/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
не совсем этично, неск дней можно было бы и выделить, просто проекты действительно вызывают уважение
| | |
| 1.95, Ivan_83 (ok), 06:10, 29/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– | |
Очередное "ааа мы все умрём!!!", на практике если присмотрется просто лапша.
> Уязвимость в сетевом сканере nmap, приводящая к целочисленному переполнению из-за некорректной обработки размера в коде для парсинга заголовков пакетов IPv6.
И в чём тут уязвимость?
Обычная ошибка.
> Уязвимость в act_runner в платформе совместной разработки Gitea, позволяющая выйти из контейнера и получить root-доступ к хост-системе при наличии возможности выполнения своих обработчиков через Gitea Actions.
Это вообще смешно: хоть кто то запускает gitea от рута!?
Обычно оно работает от www.
У меня ещё и в chroot где существует только юзер www и нет suid бинарников.
И остальное всё такое же - надо очень внимательно смотреть где там просто ошибка а где реально можно эксплуатировать.
| | |
| 1.107, Аноним (107), 12:20, 29/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Местные прихожане ракообразной церкви как обычно промолчат про уязвимости в RustDesk, но не забудут напомнить на каком языке писали код с переполнением буфера. Кстати, как там с MeshCentral?
| | |
| 1.110, bOOster (ok), 13:36, 29/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Ну с Растом - за что боролись на то и напоролись. Теперь уровень программистов на раст ниже плинтуса, избавились от ошибки "переполнение буфера", зато все "завалено" будет бестолковыми ошибками в логике и т.д.
| | |
| |
| 2.127, Аноним (129), 16:31, 29/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
Причем, ошибки "переполнений" и "выходов" решались-крэшались строгими настройками компилятора. А вот от логических ошибок так просто не сохранишься.
| | |
|
|
