1、谷歌推出Chrome 140稳定版并修复多个安全漏洞

https://cybersecuritynews.com/chrome-140-released/

谷歌已正式推出Chrome 140稳定版。此次更新带来了常规的稳定性和性能提升，但最主要的是修复了六个安全漏洞，其中包括一个可能导致远程代码执行的高危漏洞。该高危漏洞被标识为CVE-2025-9864，源于V8引擎中的释放后重用（Use-after-free）问题。攻击者可以通过操纵这种内存状态，制作一个恶意网页来触发该漏洞，这可能导致浏览器崩溃，甚至在最坏的情况下能够在受害者的系统上执行任意代码。强烈建议用户立即更新Chrome浏览器，以防范潜在的攻击风险。

2、CISA警告SunPower设备中存在一个高危漏洞

https://cybersecuritynews.com/cisa-warns-of-critical-sunpower-device-vulnerability/

美国网络安全和基础设施安全局（CISA）发布了一项紧急通告，警告SunPower PVS6太阳能设备存在一个高危漏洞，该漏洞可能使攻击者获得对系统设备的完全控制权。该漏洞被标识为CVE-2025-9696（CVSS v4评分为9.4），源于设备蓝牙低功耗（BluetoothLE）接口中使用了硬编码的凭证。处于蓝牙范围内的攻击者可以利用这一漏洞访问设备的服务接口，从而能够替换固件、关闭发电、修改电网设置、创建SSH隧道、更改防火墙配置以及操控连接的设备。目前SunPower尚未提供官方修复补丁。

3、PagerDuty确认其Salesforce数据遭到泄露

https://cybersecuritynews.com/pagerduty-confirms-data-breach/

PagerDuty确认一起安全事件，导致其存储在Salesforce中的部分数据遭到未经授权的访问。该公司声明，PagerDuty平台凭证并未遭到泄露，并强调此次泄露范围有限。得知数据泄露后，该公司立即禁用了Salesloft Drift对其Salesforce数据的访问，并正在进行持续的调查。可能被泄露的数据包括客户的联系信息，例如姓名、电话号码和电子邮件地址。尽管PagerDuty的核心服务和凭证仍然安全，但这些联系信息的泄露增加了其客户遭受定向网络钓鱼和和社会工程攻击的风险。鉴于这种潜在风险，PagerDuty建议所有客户提高警惕。

4、恶意npm包仿冒Nodemailer劫持加密货币

https://www.anquanke.com/post/id/311853

网络安全研究人员发现一个恶意npm软件包，该包通过隐蔽功能向Windows系统上的Atomic和Exodus等加密货币钱包桌面应用注入恶意代码。这个名为nodejs-smtp的软件包仿冒了合法的电子邮件库nodemailer，不仅使用了完全相同的标语、页面样式和README描述，还自2025年4月由用户”nikotimon”上传至npm注册库以来，累计获得了347次下载。该软件包目前已下架。

5、ESPHome Web服务器认证绕过漏洞曝光

https://www.anquanke.com/post/id/311845

ESPHome项目（一个基于ESP32和ESP8266的智能家居设备开源固件框架）披露了一个关键漏洞，该漏洞会破坏其Web服务器组件的基础认证功能。该漏洞编号为CVE-2025-57808，CVSS评分为8.1（高危），攻击者可完全绕过认证，可能获取设备控制权，包括访问OTA（空中下载）固件更新功能。

6、XWiki 存在路径遍历漏洞

https://www.secrss.com/articles/82741

近日，奇安信CERT监测到官方修复XWiki 路径遍历漏洞(CVE-2025-55747、CVE-2025-55748)，XWiki 对用户输入过滤不当导致路径遍历，攻击者可读取配置文件等敏感信息。目前该漏洞POC已公开。鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。

7、数百万台冰箱、冰柜等设备或因控制器漏洞面临失控风险

https://www.secrss.com/articles/82720

2025年9月4日综合开源消息，工业网络安全研究机构Armis Labs披露了一系列存在于Copeland E2和E3控制器中的关键漏洞，被统称为Frostbyte10。这些控制器广泛部署于零售、冷链物流、制药及商用建筑领域，承担着制冷、暖通空调（HVAC）、照明及楼宇管理系统（BMS）的核心控制功能。Frostbyte10漏洞的存在可能导致数百万台冷藏设备、冰箱及冷柜面临温控失控风险，不仅威胁食品和药品安全，还可能引发供应链中断和经济损失。

8、关键账号密码被盗，金融巨头超9.2亿元资金遭转账窃取

https://www.secrss.com/articles/82704

知名金融科技公司Sinqia的巴西央行实时支付系统业务环境发生一起未授权访问事件，攻击者窃取该公司IT供应商的合法账号，通过操作多笔转账交易盗窃了超9.2亿元资金；Sinqia的两家金融机构客户受影响，据悉其中一家是汇丰银行，Sinqia试图追回相关资金，目前进度尚未公布。

9、模型命名空间复用漏洞可劫持谷歌微软平台AI模型

https://www.freebuf.com/articles/ai-security/447324.html

一种名为"模型命名空间复用（Model Namespace Reuse）"的新型安全漏洞被发现，攻击者可利用该漏洞劫持谷歌Vertex AI和微软Azure AI Foundry等主流平台上的AI模型。Palo Alto Networks旗下Unit 42团队的研究显示，该漏洞源于AI模型采用的简易命名机制。

10、美国悬赏千万美元通缉涉嫌攻击关键基础设施的俄FSB官员

https://www.freebuf.com/articles/ics-articles/447323.html

美国国务院宣布悬赏最高1000万美元，征集关于俄罗斯联邦安全局（FSB）官员帕维尔·亚历山德罗维奇·阿库洛夫、米哈伊尔·米哈伊洛维奇·加夫里洛夫和马拉特·瓦列里耶维奇·秋科夫的情报。这三人被指控入侵美国关键基础设施及全球超过500家能源企业。

声明

以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。