当前位置: 首页 > 行业资讯 > 网络安全日报 2026年07月09日

网络安全日报 2026年07月09日

发表于:2026-07-09 08:36 作者: 蚁景网安实验室 阅读数(410人)

1、首个一键式Android 17漏洞利用链可使攻击者完全控制手机

https://www.freebuf.com/articles/489388.html

被命名为"IonStack"的全链漏洞利用技术证明,仅需点击一个恶意链接,攻击者就能完全控制Android设备。Nebula Security发布的这一PoC被称为全球首个公开的Android 17 root演示,通过串联Firefox和Linux内核的两个0Day漏洞,实现了无需用户进一步交互的远程代码执行和权限提升。

2、SharePoint远程代码执行漏洞PoC及技术细节公开

https://www.freebuf.com/articles/489394.html

针对本地部署版Microsoft SharePoint Server中的高危远程代码执行(RCE)漏洞(CVE-2025-53770),研究人员现已公开概念验证(PoC)利用代码及深度技术细节。该漏洞的披露大幅提高了未打补丁的SharePoint环境遭快速武器化及大规模利用的风险。

3、潜伏15年的GhostLock Linux内核漏洞可导致权限提升攻击

https://www.freebuf.com/articles/489354.html

VEGA安全研究人员披露了一个被追踪为CVE-2026-43499、命名为"GhostLock"的关键Linux内核漏洞。这个存在十余年的权限提升漏洞已悄然影响主流Linux发行版。GhostLock源于2011年Linux 2.6.39版本引入的实时互斥锁(rtmutex)子系统逻辑错误。该漏洞直到2026年4月才被发现并修补,影响范围涵盖7.1之前的所有内核版本。Nebula Security研究人员开发出成功率高达97%的利用程序,通过Google的kernelCTF项目获得92,337美元奖金。

4、埃森哲数据泄露事件:黑客宣称窃取35GB源代码

https://www.freebuf.com/articles/database/489303.html

一名使用"888"化名的威胁攻击者在网络犯罪论坛发布出售数据声明,声称这些数据窃取自IT服务与咨询巨头埃森哲(Accenture),据称窃取内容总量约35GB的源代码及相关凭证。

5、腾达设备认证后门漏洞使攻击者获得完全管理员权限

https://cybersecuritynews.com/tenda-authentication-backdoor-grants-access/

腾达路由器多个型号存在认证后门漏洞(CVE-2026-11405),攻击者无需凭证即可获取管理员权限,风险极高。建议关闭远程管理并更换设备,厂商暂未发布补丁。

6、恶意Skills利用扫描规避技术攻击Claude Code和Codex

https://www.anquanke.com/post/id/315737

一类新型恶意软件可绕过主流 AI 代码助手配套安全防护工具,隐蔽实施攻击。研究人员发现,藏匿于代理技能包(Claude Code、OpenAI Codex 等工具所用小型扩展插件)内的恶意程序,可通过变形改造规避自动化安全扫描检测,同时完整保留全部恶意执行逻辑。

7、Ubiquiti修复了Connect 、OS等多个产品中的关键UniFi漏洞

https://thehackernews.com/2026/07/ubiquiti-patches-critical-unifi-flaws.html

Ubiquiti 已发布更新,以解决影响 UniFi Connect、UniFi Talk、UniFi Access、UniFi Protect 和 UniFi OS 的多个关键安全漏洞,这些漏洞可能导致权限提升和任意命令执行。

8、SCMBANKER病毒使用ClickFix钓鱼攻击墨西哥银行用户

https://thehackernews.com/2026/07/scmbanker-malware-uses-clickfix-lures.html

一项新的银行欺诈活动正利用 ClickFix 诱饵,针对墨西哥银行、金融科技公司、支付处理商和加密货币交易所的客户。该活动集群,由 Elastic Security Labs 以 REF6045 为代号追踪,通过虚假的 CAPTCHA 验证页面感染受害者,诱导他们运行恶意命令,安装一个名为 SCMBANKER 的 PowerShell 工具包。该恶意软件的部分组件可追溯至 2025 年 10 月。

9、新型HalluSquatting攻击可诱骗AI编程助手安装僵尸网络恶意软件

https://thehackernews.com/2026/07/new-hallusquatting-attack-could-trick.html

AI 编程助手有编造事物的习惯。问一个助手去获取一个流行的工具,它有时会返回一个听起来很真实的、不存在项目的名称。一项名为幻影入侵的新研究将这一习惯转化为一种攻击:找出 AI 可靠编造的假名称,先进行注册,然后等待助手代表用户获取恶意软件。

10、GitHub '验证' 提交可以被改写成新的哈希值而不破坏签名

https://thehackernews.com/2026/07/github-verified-commits-can-be.html

新研究表明,已签署的 Git 提交的哈希值并非软件界普遍认为的那个独一无二的名字。对于任何已签署的提交,没有签署密钥的人可以创建一个具有相同文件、作者和日期以及有效签名的第二个提交,GitHub 仍然会盖章“已验证”。

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。

本课程最终解释权归蚁景网安学院

本页面信息仅供参考,请扫码咨询客服了解本课程最新内容和活动

🎈网安学院推荐课程: 红队攻防特训班 Web安全工程师特训班 Python网络安全实战班 应急响应安全工程师特训班
  CTF-Reverse实战技能特训班 CTF-WEB实战技能特训班 CTF-PWN实战技能特训班 CTF-MISC实战技能特训班   SRC漏洞高阶实战课 HVV大师课