Дайджест Start X № 435

Google срочно выпустила обновление Chrome 140 для Windows, macOS и Linux. В нём закрыли опасную уязвимость в движке JavaScript, которой уже пользовались злоумышленники. Именно такие баги называют «уязвимостями нулевого дня», потому что их используют в атаках до выхода исправления.

По данным Google, проблема — в ошибке обработки памяти в V8. Эксплойт есть «на воле», так что откладывать обновление точно нельзя. Заодно закрыли ещё несколько сбоев поменьше, а обновление постепенно распространяется по всем пользователям браузера.

Почему это важно: достаточно просто открыть вредоносную страницу — и браузер могут взломать. Если вы не обновитесь, можете «подхватить» шпионскую программу или потерять доступ к аккаунтам.

Что делать: откройте «Меню → Справка → О браузере Google Chrome» и дождитесь обновления до версии 140.0.7339.185/186. Перезапустите браузер, включите автообновления, а расширения держите только из проверенных источников.

Apple выпустила обновления безопасности не только для свежих устройств, но и для старых iPhone и iPad. Закрыли уязвимость в обработке изображений: достаточно получить на яблочный гаджет «заражённую» картинку — и злоумышленник может выполнить код на устройстве.

Компания пишет, что баг уже использовали в «очень изощрённых» атаках на отдельных людей. Патчи вышли для веток iOS/iPadOS 15 и 16, чтобы прикрыть устройства, которые многие ещё носят как «звонилку» или детский планшет.

Почему это важно: даже если вы не обновляли телефон годами, он всё ещё в зоне риска — атаки часто идут через сообщения и мессенджеры.

Что делать: зайдите в «Настройки → Основные → Обновление ПО» и поставьте апдейт. Обновите WhatsApp/Telegram, не открывайте неизвестные файлы и включите «Защиту конфиденциальности» в iOS.

Google удалил из Play Store 224 приложения, через которые шла гигантская схема накрутки рекламы. Они вели себя прилично при обычной установке, но при установке по рекламной ссылке, скачивали скрытый модуль и тайно крутили объявления в фоне.

Исследователи называют операцию SlopAds: более 38 млн установок, 2,3 млрд рекламных запросов в день, маскировка кода в картинках и подменённые сайты. Google отключил приложения и обновил Play Protect, чтобы предупреждать пользователей.

Почему это важно: такие «рекламные пылесосы» быстро разряжают батарею и потребляют много трафика, телефон тормозит. Иногда через них прокрадываются и другие вредоносные модули.

Что делать: откройте Play Protect и проверьте устройство; удалите подозрительные приложения «фонарик/калькулятор/игра» с кучей рекламы; запретите установку со сторонних источников и периодически чистите список программ.

Крупный венчурный фонд Insight Partners признал: ранее объявленный инцидент был связён с вымогателями, а в результате пострадали данные тысяч людей. Пострадавшим разослали уведомления и предложили мониторинг кредитной истории.

В уведомлениях говорится, что злоумышленники проникли в сеть ещё осенью 2024 года и в январе 2025 попытались зашифровать файлы — тогда нападение и обнаружили. Следом компания подтвердила компрометацию персональной и финансовой информации части сотрудников и партнёров.

Почему это важно: такие утечки ведут к мошенничеству с кредитами, целевому фишингу и попыткам захвата чужих аккаунтов.

Jaguar Land Rover продлила остановку производств после киберинцидента: восстановление идёт медленнее, чем планировали. Компания ранее признавалась, что у злоумышленников оказались некоторые данные.

Сбой начался в конце августа, в начале сентября JLR сообщила о «серьёзных нарушениях» в работе систем. Теперь заводы не запустятся как минимум до 24 сентября. Бренд продолжает расследование и не раскрывает подробностей о группе, стоящей за атакой.

Международный холдинг Kering сообщил о краже клиентских данных некоторых своих брендов. По сведениям СМИ, речь может идти о миллионах записей — от имён и адресов до телефонов и сумм покупок.

Компания обнаружила инцидент в июне, затем подтвердила частичный несанкционированный доступ к данным «некоторых Домов». Сами бренды в релизе не назывались, но источники указывают на Gucci, Balenciaga и Alexander McQueen. О финансовых данных (карты/счета) Kering говорит, что они не затронуты.

На клиентов дорогих брендов часто охотятся мошенники — дальше возможны «доставочные» и «гарантийные» фишинговые письма, попытки оформить кредит.

Microsoft и Cloudflare закрыли сервис фишинга RaccoonO365

Microsoft и Cloudflare совместно ударили по инфрастуктуре «фишинг-как-сервис» RaccoonO365, через который злоумышленники массово крали пароли к аккаунтам Microsoft 365. Платформа продавала готовые шаблоны страниц-подделок и инструменты рассылки.

По данным расследователей, через сервис утекали тысячи учётных данных. После вмешательства инфраструктуру нарушителей отключили, а компаниям разослали уведомления и советы по защите.

Фишинговые рассылки — главная причина кражи аккаунтов. Потеря доступа к почте/облаку тянет за собой и другие сервисы.

Включите 2FA, а лучше воспользуйтесь приложением-аутентификатором, проверьте правила пересылки в почте, научитесь сами и обучите близких отличать «поддельные» письма, а в браузере включите защиту от фишинга.

Microsoft предупредила: в октябре на ПК вне ЕЭС начнут автоматически появляться ярлык-приложение Microsoft 365 Copilot у тех, у кого стоят настольные офисные приложения. Делают это, чтобы люди «проще находили» ИИ-функции.

Установка пройдёт с начала октября до середины ноября. Админам дали опцию отказаться через центр администрирования, а пользователям советуют не удивляться новой иконке в меню «Пуск». ЕС это не затронет из-за местных правил.