https://www.freebuf.com/articles/489388.html
被命名为"IonStack"的全链漏洞利用技术证明,仅需点击一个恶意链接,攻击者就能完全控制Android设备。Nebula Security发布的这一PoC被称为全球首个公开的Android 17 root演示,通过串联Firefox和Linux内核的两个0Day漏洞,实现了无需用户进一步交互的远程代码执行和权限提升。
https://www.freebuf.com/articles/489394.html
针对本地部署版Microsoft SharePoint Server中的高危远程代码执行(RCE)漏洞(CVE-2025-53770),研究人员现已公开概念验证(PoC)利用代码及深度技术细节。该漏洞的披露大幅提高了未打补丁的SharePoint环境遭快速武器化及大规模利用的风险。
https://www.freebuf.com/articles/489354.html
VEGA安全研究人员披露了一个被追踪为CVE-2026-43499、命名为"GhostLock"的关键Linux内核漏洞。这个存在十余年的权限提升漏洞已悄然影响主流Linux发行版。GhostLock源于2011年Linux 2.6.39版本引入的实时互斥锁(rtmutex)子系统逻辑错误。该漏洞直到2026年4月才被发现并修补,影响范围涵盖7.1之前的所有内核版本。Nebula Security研究人员开发出成功率高达97%的利用程序,通过Google的kernelCTF项目获得92,337美元奖金。
https://www.freebuf.com/articles/database/489303.html
一名使用"888"化名的威胁攻击者在网络犯罪论坛发布出售数据声明,声称这些数据窃取自IT服务与咨询巨头埃森哲(Accenture),据称窃取内容总量约35GB的源代码及相关凭证。
https://cybersecuritynews.com/tenda-authentication-backdoor-grants-access/
腾达路由器多个型号存在认证后门漏洞(CVE-2026-11405),攻击者无需凭证即可获取管理员权限,风险极高。建议关闭远程管理并更换设备,厂商暂未发布补丁。
https://www.anquanke.com/post/id/315737
一类新型恶意软件可绕过主流 AI 代码助手配套安全防护工具,隐蔽实施攻击。研究人员发现,藏匿于代理技能包(Claude Code、OpenAI Codex 等工具所用小型扩展插件)内的恶意程序,可通过变形改造规避自动化安全扫描检测,同时完整保留全部恶意执行逻辑。
https://thehackernews.com/2026/07/ubiquiti-patches-critical-unifi-flaws.html
Ubiquiti 已发布更新,以解决影响 UniFi Connect、UniFi Talk、UniFi Access、UniFi Protect 和 UniFi OS 的多个关键安全漏洞,这些漏洞可能导致权限提升和任意命令执行。
https://thehackernews.com/2026/07/scmbanker-malware-uses-clickfix-lures.html
一项新的银行欺诈活动正利用 ClickFix 诱饵,针对墨西哥银行、金融科技公司、支付处理商和加密货币交易所的客户。该活动集群,由 Elastic Security Labs 以 REF6045 为代号追踪,通过虚假的 CAPTCHA 验证页面感染受害者,诱导他们运行恶意命令,安装一个名为 SCMBANKER 的 PowerShell 工具包。该恶意软件的部分组件可追溯至 2025 年 10 月。
https://thehackernews.com/2026/07/new-hallusquatting-attack-could-trick.html
AI 编程助手有编造事物的习惯。问一个助手去获取一个流行的工具,它有时会返回一个听起来很真实的、不存在项目的名称。一项名为幻影入侵的新研究将这一习惯转化为一种攻击:找出 AI 可靠编造的假名称,先进行注册,然后等待助手代表用户获取恶意软件。
https://thehackernews.com/2026/07/github-verified-commits-can-be.html
新研究表明,已签署的 Git 提交的哈希值并非软件界普遍认为的那个独一无二的名字。对于任何已签署的提交,没有签署密钥的人可以创建一个具有相同文件、作者和日期以及有效签名的第二个提交,GitHub 仍然会盖章“已验证”。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
本课程最终解释权归蚁景网安学院
本页面信息仅供参考,请扫码咨询客服了解本课程最新内容和活动