三星已发布安全更新,以修复一个正在被积极利用的、针对安卓设备的零日漏洞。该漏洞被标识为CVE-2025-21043,CVSS评分为8.8,它允许在处理恶意图片时实现远程代码执行。尽管三星没有明确证实哪些应用程序在实际攻击中被利用,但承认该漏洞的影响可能不仅仅局限于单一服务,这表明任何依赖libimagecodec.quram.so的即时通讯软件或应用程序都可能是一个潜在的攻击媒介。
https://www.freebuf.com/news/448976.html
安全研究团队Socket发现npm仓库遭遇新型供应链攻击,波及多个维护者旗下的40余个软件包。研究人员首先在每周下载量达220万次的@ctrl/tinycolor软件包中检测到恶意更新,深入调查后揭露了这场规模更大的攻击活动。
https://www.freebuf.com/articles/448857.html
GitHub宣布将为SSH连接引入抗量子密码学(post-quantum cryptography)保护,这一举措表明该公司正在为当前加密技术可能失效的未来做准备。平台已推出一种新型SSH密钥,该密钥同时包含传统算法和抗量子算法,被称为混合密钥(hybrid key),可在兼容现有系统的同时提供抵御未来量子攻击的能力。
https://www.freebuf.com/articles/448869.html
Spring Security和Spring框架中曝出两个高危漏洞(CVE-2025-41248和CVE-2025-41249),攻击者可利用这些漏洞绕过企业应用中的授权控制机制。当Spring Security的@EnableMethodSecurity特性与方法级注解(如@PreAuthorize和@PostAuthorize)结合使用时,若服务接口或抽象基类采用无界泛型,注解检测机制将无法定位重写方法上的安全注解,导致受保护端点可能被未授权访问。
https://thehackernews.com/2025/09/hiddengh0st-winos-and-kkrat-exploit-seo.html
中文用户遭SEO投毒攻击,仿冒软件网站传播HiddenGh0st、Winos等恶意软件,利用多阶段机制规避检测。新型kkRAT加入攻击,具备全面监控能力,通过BYOVD技术对抗安全软件,劫持加密货币交易。
FlowiseAI曝高危漏洞(CVE-2025-58434,CVSS 9.8),攻击者可利用密码重置端点直接获取临时令牌,无需认证即可接管任意账户(含管理员)。所有3.0.5前版本均受影响,建议禁用敏感信息返回并启用MFA。
https://www.anquanke.com/post/id/312163
近期发现的名为HybridPetya的勒索软件变种能够绕过UEFI安全启动功能,在EFI系统分区安装恶意应用程序。HybridPetya的设计灵感似乎源自具有破坏性的Petya/NotPetya恶意软件——后者曾在2016年和2017年的攻击中加密计算机并阻止Windows启动,且未提供恢复选项。
https://www.secrss.com/articles/83164
9月1日首次曝光的一起网络攻击事件,迫使捷豹路虎关闭计算机系统,并导致全球范围内停产。位于索利哈尔、海尔伍德和伍尔弗汉普顿的工厂预计至少要到9月17日才能恢复运转,因为公司仍在评估损失情况。
https://www.secrss.com/articles/83154
规定了扫码点餐服务个人信息保护总体要求和具体要求。
https://www.securityweek.com/chatgpts-new-calendar-integration-can-be-abused-to-steal-emails/
一个新版的 ChatGPT 日历集成可能被滥用来执行攻击者的命令,AI 安全公司 EdisonWatch 的研究人员通过展示如何利用此方法窃取用户的电子邮件,证明了其潜在影响。
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
本课程最终解释权归蚁景网安学院
本页面信息仅供参考,请扫码咨询客服了解本课程最新内容和活动
