1、前北约网络安全专家表示伊朗可能发起供应链攻击

https://www.theregister.com/2025/06/28/exnato_hacker_ceasefire_iran/

前北约网络安全专家、现任Black Kite公司CTO Candan Bolukbas近日在接受采访时强调，即使伊朗与以色列达成暂时停火协议，网络空间的对抗仍在持续。他指出：“在网络世界里，没有所谓的停火。”Bolukbas曾为北约执行反网络恐怖主义任务，最后一次任务是模拟攻击乌克兰关键电网。他通过供应链切入，仅用一个漏洞供应商，就几乎完全控制了电网系统。此经历也让他高度警惕目前伊朗针对美以基础设施的潜在攻击路径。他预计，伊朗不太可能直接攻破五角大楼或NSA的核心网络，而是更可能通过攻击其第三方承包商或供应链实现渗透。他引用俄罗斯的先例指出，俄方也曾通过渗透物流公司、邮箱服务商以及网络摄像头等方式获取乌克兰军用与援助信息。这种策略被认为将被伊朗仿效，用于情报搜集、钓鱼攻击甚至构建DDoS攻击的物联网僵尸网络。

2、黑客可利用蓝牙芯片漏洞进行远程窃听

https://www.bleepingcomputer.com/news/security/bluetooth-flaws-could-let-hackers-spy-through-your-microphone/

网络安全研究人员近日披露，一种广泛用于真无线音频设备的蓝牙芯片存在严重漏洞，攻击者可借此在蓝牙范围内实施窃听、读取通话记录，甚至操控设备拨打电话。该漏洞影响了29款由10家知名厂商生产的耳机、音箱和无线麦克风设备，涉及品牌包括Bose、Sony、Jabra、JBL、Marshall、Beyerdynamic等。研究人员利用上述漏洞成功构造PoC攻击代码，能够在未经授权的情况下读取目标耳机正在播放的音频内容。更具威胁的是，攻击者可劫持蓝牙连接，并通过HFP协议（蓝牙免提配置文件）发送指令至用户手机，包括拨打电话、读取联系人与通话记录等操作。尽管漏洞利用需在蓝牙有效范围内并具备较高技术门槛，但一旦成功，攻击者无需物理接触即可操控受害者的蓝牙设备与手机交互，并绕过用户干预进行敏感操作。

3、Facebook新AI功能请求用户上传相册引发隐私担忧

https://thehackernews.com/2025/06/facebooks-new-ai-tool-requests-photo.html

Meta公司近期在Facebook推出一项新AI功能，提示用户允许其上传手机相册中的照片到云端，用于生成故事拼图、回顾视频等内容建议。该功能虽然标榜“仅用户可见”、“不用于广告定向”，但业内专家和隐私倡导者普遍担心，这种做法可能进一步侵蚀用户的数据主权。据TechCrunch报道，美国和加拿大的部分用户在创建Facebook Story时，收到一则弹窗，询问是否同意“允许云处理”。Meta在弹窗中表示，系统会基于时间、地点或主题等信息持续上传用户相册的内容，并用于AI生成的个性化内容建议。若用户同意，Meta将获得分析其媒体内容和人脸特征的权限，并适用公司AI条款。虽然Meta承诺不会将这些媒体用于广告，但相关图像和元数据（如地理位置、时间戳等）可能用于训练AI模型或构建用户行为画像，引发更广泛的数据滥用担忧。

4、Cloudflare为其视频通话应用引入端到端加密技术

https://www.bleepingcomputer.com/news/security/cloudflare-open-sources-orange-meets-with-end-to-end-encryption/

Cloudflare近日宣布，为其视频通话应用Orange Meets引入端到端加密（E2EE）机制，并将该方案以开源形式发布，旨在提升通信安全性与协议透明度。虽然该应用初始作为“Cloudflare Calls”（现更名为Realtime）的一部分推出，主要面向技术演示用途，但此次的安全升级使其成为具备高加密保障的视频通话研究平台。Orange Meets基于IETF标准的Messaging Layer Security（MLS）协议实现E2EE。这是一种新兴的群组密钥交换标准，支持多方通信中的密钥持续协商，确保前向保密性、破坏后恢复安全性（Post-compromise security）以及良好的扩展能力。加密过程完全在客户端完成，通过WebRTC进行通信，Cloudflare的中转服务器（即SFU）不具备访问用户数据的能力。此外，团队引入了一个名为“Designated Committer Algorithm”（指定提交者算法）的新机制，用于在用户加入或退出时安全地更新群组密钥状态。算法由客户端动态选择新的密钥提交者，实现无需服务器干预的动态成员管理。

5、NFC正成网络犯罪新目标，恶意攻击数量半年激增35倍

https://www.freebuf.com/articles/database/437184.html

一种针对近场通信（NFC）支付系统的复杂新型恶意软件活动已演变为重大全球网络安全威胁。该攻击最初仅在东欧地区出现，如今已发展为全球性现象。ESET研究人员于2023年底首次在捷克银行客户中发现这一恶意活动，目前其已高效扩散至多个大洲。威胁呈现爆发式增长，ESET遥测数据显示，与2024年下半年相比，2025年上半年NFC相关攻击数量激增35倍。

6、Chrome紧急修复已被利用的零日漏洞CVE-2025-6554

https://www.freebuf.com/articles/web/437229.html

谷歌在发现一个已被野外利用的高危零日漏洞（CVE-2025-6554）后，紧急为其Chrome浏览器的稳定版通道发布了更新。该漏洞被归类为V8 JavaScript引擎中的类型混淆漏洞，对Windows、macOS和Linux平台的用户构成严重威胁。

7、群晖ABM漏洞泄露全局客户端密钥危及所有微软365租户

https://securityonline.info/synology-abm-flaw-cve-2025-4679-leaks-global-client-secret-exposing-all-microsoft-365-tenants/

群晖ABM软件存在严重漏洞(CVE-2025-4679)，泄露全局客户端密钥，攻击者可无认证访问企业微软365数据，包括Teams、Outlook等。群晖低估风险，未提供充分预警。

8、挪威水坝遭网络攻击 闸门被非法开启数小时

https://hackread.com/norwegian-dam-valve-forced-open-hours-in-cyberattack/

挪威水坝遭黑客入侵，闸门被非法开启四小时，暴露控制系统弱密码隐患。虽未造成危险，但凸显关键基础设施安全漏洞风险，警示需加强身份验证和实时监控，采用强密码等多重防护措施。

9、微软暗示将逐步撤销安全软件对Windows内核访问权限

https://www.csoonline.com/article/4014241/microsoft-hints-at-revoking-access-to-the-windows-kernel-eventually.html

微软探索用户模式下提供内核级安全功能，计划限制第三方内核访问，以提升系统可靠性。此举将要求安全厂商重构产品，但微软采取渐进策略安抚行业。内核访问矛盾在于安全与风险并存，微软最终可能完全封锁内核权限。

10、荷兰零售巨头Ahold Delhaize数据泄露事件影响超220万人

https://securityaffairs.com/179448/data-breach/ahold-delhaize-data-breach-affected-over-2-2-million-individuals.html

荷兰零售巨头Ahold Delhaize遭勒索攻击，220万人信息泄露，含社保号、银行账号等敏感数据。Inc Ransom组织宣称窃取6TB数据，因未支付赎金公开800GB。公司提供两年信用监控服务。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。