https://jfrog.com/blog/cve-2025-11953-critical-react-native-community-cli-vulnerability/
React Native官方CLI工具包@react-native-community/cli存在高危漏洞CVE-2025-11953,CVSS评分9.8。默认启动的Metro开发服务器误绑0.0.0.0,外部攻击者无需认证即可向/open-url端点发送恶意POST,借不安全open()函数在Windows上执行任意系统命令,macOS/Linux也可执行文件。受影响版本为4.8.0–20.0.0-alpha.2,全球周下载量约200万。Meta已在20.0.0版本修复;若暂无法升级,建议启动时加--host 127.0.0.1限制本地访问。
微软事件响应团队最近披露了一种新型后门程序,名为SesameOp,该程序利用OpenAI Assistants API进行命令与控制通信。该后门于2025年7月发现,攻击者通过它在目标环境中潜伏数月,使用复杂的技术实现隐蔽通信并协调恶意活动。研究人员发现,该后门通过一个加载器(Netapi64.dll)和一个基于.NET的后门(OpenAIAgent.Netapi64)进行工作。微软和OpenAI在发现该后门后迅速响应,禁用了攻击者的API密钥及其账户。随着对这一新型威胁的深入研究,微软向安全研究社区分享了其发现,旨在改进防御措施并阻止类似攻击的发生。
欧洲刑警组织和欧洲司法组织成功捣毁了一个涉及6亿欧元的加密货币诈骗网络。这项联合行动于10月27日至29日在塞浦路斯、西班牙和德国展开,共逮捕了九名嫌疑人,进一步查获了大量资金,包括80万欧元的银行存款、41.5万欧元的加密货币和30万欧元的现金。犯罪分子利用社交媒体广告、电话推销以及虚假的成功案例进行招募,导致无数投资者受到欺骗。投资者一旦将资金投入这些虚假平台,加密资产便通过区块链洗钱,从而使得受害者的损失进一步加剧。
日本最大媒体集团日经新闻披露,其内部Slack平台因员工电脑感染木马导致凭据被盗,攻击者借此读取17,368名雇员及合作伙伴的姓名、邮箱与聊天记录。事件9月被发现后,集团已强制重置密码并主动向个人信息保护委员会呈报,强调未波及机密信源与采访资料。
https://www.freebuf.com/articles/ai-security/455628.html
苹果公司确认,谷歌旗下名为Big Sleep的人工智能(AI)网络安全Agent在其Safari浏览器使用的WebKit组件中发现了五个不同的安全漏洞。若被成功利用,这些漏洞可能导致浏览器崩溃或内存损坏。
https://cybersecuritynews.com/apple-patches-critical-vulnerabilities/
苹果发布iOS/iPadOS 26.1更新,修复50余项漏洞,包括隐私泄露、沙箱逃逸和WebKit攻击,覆盖多款设备,强化数据防护和系统稳定性,建议用户立即升级。
谷歌披露AI诈骗致全球年损4000亿美元,Android三重防护系统月拦100亿次威胁,RCS功能阻断1亿可疑号码。数据显示Android防诈效果显著优于iOS,用户遭遇诈骗少58%,防护信心高20%,AI实时检测有效拦截钓鱼和骚扰。
AMD Zen 5处理器发现高危RDSEED指令缺陷,可能导致随机性失效。AMD确认16/32位指令受影响,建议禁用或改用64位指令。微码修复将于11月陆续发布,涵盖EPYC、Ryzen等系列。
https://cybersecuritynews.com/windows-graphics-rce-vulnerabilities/
微软Windows GDI组件存在多个高危漏洞(CVE-2025-30388/53766/47984),攻击者可利用恶意文档远程执行代码或窃取数据,CVSS最高9.8分。微软已发布补丁,建议立即更新并禁用非可信环境EMF渲染。
Google发布Chrome 142版本,修复20个漏洞,包括两个高危V8引擎漏洞,发放10万美元赏金。漏洞发现者各获5万美元。更新还涉及多个中低危漏洞,目前未被利用。
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
本课程最终解释权归蚁景网安学院
本页面信息仅供参考,请扫码咨询客服了解本课程最新内容和活动
