1、BiDi Swap漏洞让假网址伪装成真

https://www.bleepingcomputer.com/news/security/bidi-swap-the-bidirectional-text-trick-that-makes-fake-urls-look-real/

Varonis Threat Labs警告称，一项名为“BiDi Swap”的旧漏洞正被重新利用，用以伪造看似可信的网页链接。该漏洞源于浏览器对左右混排文字（LTR/RTL）的处理差异，攻击者可借此制造表面正常、实则指向恶意网站的URL，从而实施钓鱼攻击。早期类似技术包括Punycode同形异义域名与RTL覆盖符欺骗，而BiDi Swap进一步利用Unicode双向算法在子域和参数中的显示漏洞。测试发现，Chrome、Firefox及Edge等浏览器虽有不同程度防护，但仍存在显示混乱与识别盲区。研究人员建议用户在点击混合语言或结构异常的链接前仔细核查域名、SSL证书及拼写一致性，同时敦促浏览器厂商改进域名高亮与仿冒检测机制，以防视觉欺骗攻击。

2、TEE.Fail攻击破坏Intel、AMD、NVIDIA CPU上的机密计算

https://tee.fail/

Georgia Tech与Purdue大学研究人员披露，一种称为TEE.Fail的侧信道攻击可在DDR5平台通过内存总线插装设备（interposer）截获AES-XTS密文，进而恢复Intel SGX/TDX与AMD SEV-SNP中的密钥并伪造attestation。研究显示此法成本低于1000美元，但需物理接触与内核权限，攻击原理利用DDR5去除内存完整性/重放保护导致的决定性密文映射。实验已能重建签名私钥并模拟可信执行环境，三大厂商已获通报并在制定缓解方案；研究者警告尽管实施复杂，面对高价值目标具现实威胁，建议加强硬件与固件防护与补丁应对。

3、Chrome将默认警告HTTP不安全网站

https://www.bleepingcomputer.com/news/google/google-chrome-to-warn-users-before-opening-insecure-http-sites/

Google宣布，自2026年10月发布的Chrome 154起，浏览器将默认在访问未使用HTTPS的公共网站前提示用户确认，以强化防护中间人攻击与数据篡改风险。此举相当于默认启用“始终使用安全连接”功能，该模式自2021年起为可选设置。未来Chrome将在首次访问非加密网站时请求许可，而对经常访问的HTTP站点不重复提醒。预计2026年4月起，启用增强安全浏览的用户将率先体验该机制。Google表示，目前全球95%以上网站已采用HTTPS，因此此次过渡影响有限，但仍建议网站管理员尽早迁移至安全协议，以避免未来访问受限或出现安全提示。

4、CISA警告达索Apriso再曝两漏洞遭利用

https://www.cisa.gov/known-exploited-vulnerabilities-catalog?search_api_fulltext=CVE-2025-6204%2C+CVE-2025-6205&field_date_added_wrapper=all&field_cve=&sort_by=field_date_added&items_per_page=20&url=

美国网络安全与基础设施安全局（CISA）通报，攻击者正积极利用法国达索系统（Dassault Systèmes）DELMIA Apriso制造执行系统中的两项新漏洞。漏洞CVE-2025-6205为高危未授权访问缺陷，允许远程攻击者在未认证情况下获取特权权限；CVE-2025-6204则为高权限代码注入漏洞，可执行任意代码。两项问题已在2025年8月发布补丁修复，但仍有系统未更新。CISA已将其列入“已知被利用漏洞目录”，要求联邦机构于11月18日前完成修补，并呼吁各行业管理员立即更新或停用受影响版本。此前，DELMIA Apriso曾在9月曝出另一起远程执行漏洞，显示该工业软件正成为攻击重点目标。

5、网络安全法完成修改，2026年1月1日起施行

https://www.freebuf.com/articles/454670.html

新修订《网络安全法》2026年施行，强化法律责任，新增人工智能治理条款，支持AI技术研发与基础设施建设，完善伦理规范与风险监管，加强关键信息基础设施保护，提升数据安全与个人信息保护力度。

6、Ubuntu内核曝严重UAF漏洞，可致攻击者获取Root权限

https://cybersecuritynews.com/ubuntus-kernel-vulnerability/

Ubuntu Linux内核曝高危漏洞，本地攻击者可提权至root。漏洞源于af_unix子系统引用计数失衡，导致UAF问题，影响Ubuntu 24.04.2系统。Canonical已发布修复补丁，用户需立即更新内核版本至6.8.0-61或更高。

7、 微软披露ASP.NET漏洞：攻击者可利用HTTP请求走私绕过安全控制

https://cybersecuritynews.com/microsoft-details-asp-net-vulnerability/

微软紧急修复ASP.NET Core高危漏洞CVE-2025-55315（CVSS 9.9），该漏洞允许HTTP请求走私攻击，可能导致权限提升、数据泄露。影响所有版本，需立即更新补丁并审核请求处理代码，加强代理流量监控。

8、Herodotus安卓木马通过模拟人类打字行为逃避检测

https://securityaffairs.com/183974/malware/herodotus-android-malware-mimics-human-typing-to-evade-detection.html

Herodotus新型安卓银行木马通过模拟人类打字行为（随机延迟输入）逃避检测，利用无障碍服务窃取凭据并接管设备，已在意大利和巴西发动针对性攻击。其MaaS商业模式和高级功能显示银行木马威胁持续升级。

9、Aisuru僵尸网络创下20Tb/秒DDoS攻击新纪录

https://securityaffairs.com/183969/malware/aisuru-botnet-is-behind-record-20tb-sec-ddos-attacks.html

新型Mirai变种僵尸网络Aisuru发动峰值超20Tb/秒DDoS攻击，主要针对在线游戏行业，利用漏洞设备发起UDP/TCP洪泛，导致宽带中断和路由器故障。防御需全面监控流量，部署智能缓解系统并修复漏洞设备。

10、塔塔汽车泄露AWS密钥和超70TB敏感信息与试驾数据

https://cybersecuritynews.com/tata-motors-data-leak/

塔塔汽车系统漏洞暴露70TB敏感数据，包括客户信息、财务报告等，因AWS密钥硬编码和薄弱加密导致。漏洞2023年发现但修复拖延，危及数百万用户数据，凸显车企数字安全风险及透明度不足。

声明

以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。