安全研究人员披露,一场名为WeedHack的大规模恶意软件活动以Minecraft玩家为目标,自1月以来已感染超过116000个系统。已披露信息显示,该恶意软件通过与Minecraft相关的恶意模组、客户端、作弊程序和实用程序传播,并通过视频平台推广和搜索引擎优化投毒扩大分发。该恶意软件属于恶意软件即服务信息窃取工具,可向使用者提供仪表板,用于查看被盗凭证和受感染系统信息。遥测数据显示,该活动平均每天感染2000至3000台系统,受害者主要位于美国、德国、印度和英国。该平台可窃取Minecraft会话ID、浏览器密码、加密货币钱包数据以及多类账户凭据。
https://enclave.ai/blog/flagleft-microsoft-365-android-forgotten-flag-account-takeover
安全研究人员披露,一个开发设置绕过了用于防止未经授权Android应用访问Microsoft账户令牌的保护机制,导致大量应用安装暴露在风险之下。已披露信息显示,Word、PowerPoint、Excel、Microsoft 365 Copilot、Microsoft Loop和OneNote for Android的生产代码中遗留了调试标志,启用后改变了账户访问令牌共享行为,使本应阻止不受信任应用接收令牌的保护机制被跳过。攻击者可编写应用请求相关访问权限,并在设备上获取令牌。研究人员称,该问题本质上与供应链攻击相关,只是攻击方向不同。其他同类应用未启用该标志,因此未受该问题影响。
安全研究人员披露,一项针对Windows用户的电子邮件攻击活动使用伪造采购订单邮件和RAR压缩包传播PureLogs信息窃取恶意软件。已披露信息显示,攻击邮件诱导目标打开名为“PO 2026-P0803.rar”的恶意压缩文件,并以此作为初始诱饵。该活动使用流程空洞化技术,将合法Windows进程替换为恶意下载器模块,以隐藏恶意软件运行。PureLogs随后窃取多种浏览器中的已保存登录凭据、历史记录和cookie,并针对加密货币钱包、Discord、Outlook、FileZilla、ProtonVPN和OpenVPN等应用收集账户数据。最终,相关数据会与桌面截图、系统信息、剪贴板数据和用户名打包、压缩、加密后发送至黑客服务器。
https://novee.security/blog/pretalx-stored-xss-vulnerability-account-takeover/
安全研究人员披露,开源会议管理软件pretalx存在高危存储型跨站脚本漏洞CVE-2026-41241,CVSS评分为8.7。该软件广泛用于征稿流程和会议日程安排。已披露信息显示,任意注册用户可在组织方搜索栏下拉菜单中植入HTML或JavaScript代码,并在会议组织者搜索常用词时触发渲染。研究人员称,攻击者可上传伪装成讲义或幻灯片的载荷文件,并在提交标题中插入iframe标签,从而绕过相关内容安全策略限制并执行脚本。该脚本可访问组织者会话,进而导致会话劫持、数据窃取和自动接受演讲等结果。分析还显示,存在无需JavaScript的辅助技术,可撤销组织者管理员权限。
https://source.android.com/docs/security/bulletin/2026/2026-06-01
官方公告披露,Android操作系统2026年6月安全更新修复了124个漏洞,其中包括Framework组件中的一个高危漏洞CVE-2025-48595。该漏洞CVSS评分为8.4,被描述为无需用户交互即可提升权限的问题,影响运行Android 14、15、16和16 QPR2的设备。漏洞描述显示,多个位置存在利用整数溢出执行代码的可能路径,可能导致本地权限提升,且无需额外执行权限。官方承认有迹象表明该漏洞可能正遭受有限且有针对性的利用,但未披露幕后黑手、受影响目标或攻击规模。此次更新包含2026-06-01和2026-06-05两个安全补丁级别,并覆盖部分第三方芯片组件修复。
https://www.sophos.com/en-us/blog/you-do-surprise-me-exe-an-unexpected-executable-in-hola-browser
安全研究人员披露,Hola浏览器Windows版本在供应链攻击中遭到入侵,攻击者投放了一个未声明的可执行文件。已披露信息显示,该文件名为me.exe,被安装在程序目录下,未通过认证、没有时间戳和数字签名,并包含混淆代码。研究人员识别出该二进制文件具有门罗币挖矿程序特征。该挖矿程序会添加Windows Defender排除规则,将自身复制为HolaMonitorService.exe,创建自动启动服务,并在计算机空闲时运行。相关公司确认供应链遭到破坏,并表示约0.1%的用户受到影响,目前没有证据表明存在用户数据访问、盗窃或泄露。
https://community.acer.com/en/kb/articles/19673
宏碁确认影响Wave7网状路由器的两个最高级别零日漏洞。已披露信息显示,这两个漏洞影响运行T7c_GBL_1.01.000055或更早固件版本的设备。CVE-2026-49200为访问控制漏洞,可能允许未经身份验证的攻击者远程访问日志归档中的明文凭据;相关日志文件无需通过Web界面认证即可访问,并包含Web和Telnet登录凭据。CVE-2026-49201源于设备备份处理组件中存在硬编码AES加密密钥,远程攻击者可解密、修改并重新加密系统备份,从而注入持久后门。相关公司表示修复计划于2026年6月底部署。
https://www.dentaquest.com/en/security-update-0526
DentaQuest披露其网络发生未经授权访问事件,并对客户服务造成有限干扰。已披露信息显示,黑客组织此前在数据泄露网站上列出该公司,并声称窃取超过234GB数据。该公司表示,事件涉及其网络有限部分的未经授权访问,发现后已采取措施确保环境安全、遏制攻击并减轻影响。数据泄露通知服务随后分析泄露数据,确认其中包含260万个账户记录。暴露信息包括电子邮件地址、全名、电话号码、政府颁发的身份证件、健康保险信息、性别和出生日期。该公司表示已聘请外部专家协助调查并确定泄露数据范围。
安全研究人员披露,多款HP Poly Voice VoIP电话型号存在严重漏洞CVE-2026-0826,CVSS评分为9.2。该漏洞被描述为解析会话描述协议属性时出现的基于堆栈的缓冲区溢出问题,影响启用交互式连接建立功能的设备。已披露信息显示,该缺陷存在于解析候选属性各组成部分的函数中,相关解析函数会在处理SDP数据期间被调用。攻击者可发送包含恶意候选属性的SIP INVITE请求触发崩溃,并进一步控制程序计数器、通用寄存器和堆栈指针中的数据。受影响型号包括HP VVX系列以及Trio IP会议系列VoIP电话,所有相关型号均已发布补丁。
https://blog.google/security/android-fake-call-detection/
Google披露,Android将推出一项名为“虚假来电检测”的安全功能,用于检测并标记诈骗分子利用人工智能冒充用户联系人的电话。已披露信息显示,该功能将面向Android 12及更高版本设备推出,并首先在Pixel设备上默认启用。功能启用后,当通话双方都使用Google电话应用时,联系人拨打电话时其设备会向接收方设备发送加密确认信号。若该信号缺失,接收方设备会向联系人的真实设备发送确认请求;如果真实设备显示未发起通话,接收方将收到屏幕警告。该功能基于RCS开放标准,并需要特定电话、联系人和信息应用配合使用。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
本课程最终解释权归蚁景网安学院
本页面信息仅供参考,请扫码咨询客服了解本课程最新内容和活动
