1、《Apex英雄》游戏漏洞可远程控制其他玩家操作

https://cyberpress.org/apex-legends-remote-input-control-exploit/

热门战术竞技游戏《Apex英雄》被曝存在严重安全漏洞，攻击者可远程劫持并控制其他玩家的游戏内输入操作。该漏洞使黑客能在玩家不知情的情况下，完全操控其角色移动、武器使用及战术技能，直接破坏游戏公平性与玩家操控权，属于竞技游戏领域新型攻击向量。开发商Respawn Entertainment确认漏洞仅作用于输入处理层面，不涉及远程代码执行或系统入侵，未引发更严重的设备安全风险。目前开发团队正开展深度取证分析，排查受影响玩家并明确事件范围，承诺及时更新修复进展，同时呼吁玩家发现异常输入操控时通过官方渠道举报。

2、微软2026年首次安全更新修复其产品及系统的112个漏洞

https://cyberscoop.com/microsoft-patch-tuesday-january-2026/

微软发布2026年首次补丁星期二更新，修复涉及旗下产品及底层系统的112个漏洞，其中含1个已被在野利用的零日漏洞（CVE-2026-20805）。该漏洞位于桌面窗口管理器（Desktop Window Manager），属于信息泄露类缺陷（CVSS评分5.5），攻击者可利用其泄露敏感内存信息，削弱系统防御并助力其他漏洞利用，提升多阶段攻击成功率，可能导致权限提升或数据窃取。美国CISA已将其纳入已知利用漏洞目录，专家指出该漏洞利用需攻击者获取本地权限，且这是该组件信息泄露漏洞首次被在野利用。

3、西班牙能源巨头Endesa遭网络攻击导致客户数据泄露

https://www.barrons.com/news/hack-hits-spanish-energy-giant-endesa-s-client-data-419ba37d

西班牙能源巨头Endesa披露遭网络攻击，其数百万客户中的部分个人数据已被泄露，但公司明确排除了信息被欺诈性使用的可能。攻击者非法获取了客户能源合同相关数据、联系方式、身份证号及支付方式等信息，不过客户登录密码未受影响。Endesa表示其安全协议已迅速且妥善地控制并缓解了该事件，目前无数据遭欺诈使用的记录，暂未披露攻击具体发生时间及受影响客户数量（该公司在西班牙和葡萄牙拥有超1000万客户）。目前公司正展开全面调查，并已向包括西班牙数据保护机构在内的相关部门通报此次泄露事件。

4、黑客宣称窃取Target内部源代码和开发者文档

https://www.bleepingcomputer.com/news/security/targets-dev-server-offline-after-hackers-claim-to-steal-source-code/

2026年1月13日更新消息显示，多名塔吉特（Target）员工确认泄露源代码样本集的真实性，并分享了有关访问权限变更的内部通知。此前，未知威胁者在Gitea平台发布疑似塔吉特内部代码仓库样本，称更大规模数据集（约860GB）将在暗网拍卖，样本含支付服务、礼品卡等相关代码及内部服务器、工程师信息。塔吉特被问询后，相关仓库被移除，其开发服务器git.target.com对外下线。虽未独立验证完整数据集，但样本的目录结构、内部引用等特征符合企业私有开发环境。塔吉特暂未进一步置评，其曾在2013年发生重大数据泄露，影响1.1亿客户。

5、微软Copilot曝一键式漏洞：攻击者可悄无声息窃取敏感数据

https://www.freebuf.com/articles/ai-security/466532.html

研究人员发现针对微软Copilot Personal的新型一键式攻击，攻击者可通过该漏洞静默窃取用户敏感数据。该漏洞现已被修复，此前威胁分子可通过钓鱼链接劫持会话而无需进一步交互。

6、FortiOS高危漏洞可致远程攻击者执行任意代码

https://cybersecuritynews.com/fortios-and-fortiswitchmanager-vulnerability/

Fortinet披露高危漏洞（CWE-122），攻击者可远程执行任意代码，影响多个FortiOS、FortiSASE和FortiSwitchManager版本。建议立即升级或禁用fabric接口并阻断CAPWAP-CONTROL流量。

7、新型高级Linux恶意软件VoidLink瞄准云与容器环境

https://thehackernews.com/2026/01/new-advanced-linux-voidlink-malware.html

VoidLink是一款针对Linux云环境的模块化恶意软件框架，支持动态扩展和隐蔽攻击，具备37个插件覆盖完整攻击链，采用高级反检测技术，与中国关联威胁组织有关，专攻云服务和开发环境。

8、Spring CLI工具漏洞可导致用户设备遭受命令注入攻击

https://cybersecuritynews.com/spring-cli-tool-vulnerability/

Spring CLI VSCode扩展0.9.0及更早版本存在命令注入漏洞（CVE-2026-22718，CVSS 6.3），攻击者可本地执行任意命令。该扩展已终止支持，建议立即卸载并改用替代方案。

9、Node.js 关键漏洞可触发堆栈溢出导致服务崩溃

https://thehackernews.com/2026/01/critical-nodejs-vulnerability-can-cause.html

Node.js修复关键漏洞CVE-2025-59466（CVSS 7.5），该漏洞在使用async_hooks时可能导致堆栈溢出直接崩溃而非优雅处理，影响几乎所有生产环境应用，包括Next.js和主流APM工具。建议立即升级至20.20.0/22.22.0/24.13.0/25.3.0版本。

10、微软桌面窗口管理器0Day漏洞遭野外利用

https://cybersecuritynews.com/desktop-window-manager-0-day-vulnerability/

微软紧急修复DWM关键0Day漏洞CVE-2026-20805，该漏洞允许本地攻击者泄露内存数据，可能用于权限提升。漏洞被评为重要级别，影响旧版Windows系统，需优先部署补丁。微软确认漏洞已被利用，建议限制低权限账户并监控DWM进程。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。