三星修复 Android 攻击中利用的关键零日漏洞 CVE-2025-21043(作者:zsc0810)
三星发布 2025 年 9 月安全更新(SMR Sep-2025 Release 1),修复了被零日攻击利用的高危漏洞 CVE-2025-21043(CVSS 8.8)。该漏洞存在于 Quramsoft 开发的图像解析库 libimagecodec.quram.so 中,涉及越界写入,可导致远程任意代码执行,影响 Android 13 至 16。漏洞于 8 月 13 日被私下披露,三星确认已在野外遭到利用,但未公布攻击细节。此前,谷歌也修复了两项已被利用的 Android 漏洞。
三星发布 2025 年 9 月安全更新(SMR Sep-2025 Release 1),修复了被零日攻击利用的高危漏洞 CVE-2025-21043(CVSS 8.8)。该漏洞存在于 Quramsoft 开发的图像解析库 libimagecodec.quram.so 中,涉及越界写入,可导致远程任意代码执行,影响 Android 13 至 16。漏洞于 8 月 13 日被私下披露,三星确认已在野外遭到利用,但未公布攻击细节。此前,谷歌也修复了两项已被利用的 Android 漏洞。
❤1
https://thehackernews.com/2025/09/fbi-warns-of-unc6040-and-unc6395.html(作者:zsc0810)
FBI 发布紧急警报,披露 UNC6040 和 UNC6395 两个网络犯罪集团针对 Salesforce 平台的入侵指标。UNC6395 在 2025 年 8 月通过 Salesloft Drift 应用的 OAuth 漏洞窃取数据,源于其 GitHub 帐号泄露,Salesloft 随后下线 Drift AI 机器人并加强安全。UNC6040 自 2024 年起活跃,利用语音钓鱼和修改版工具批量窃取 Salesforce 数据,并伴随勒索行为。谷歌称其与 UNC6240、ShinyHunters 等有关。近期 ShinyHunters、LAPSUS$ 等团伙宣布解散,但专家警告威胁或将卷土重来。
FBI 发布紧急警报,披露 UNC6040 和 UNC6395 两个网络犯罪集团针对 Salesforce 平台的入侵指标。UNC6395 在 2025 年 8 月通过 Salesloft Drift 应用的 OAuth 漏洞窃取数据,源于其 GitHub 帐号泄露,Salesloft 随后下线 Drift AI 机器人并加强安全。UNC6040 自 2024 年起活跃,利用语音钓鱼和修改版工具批量窃取 Salesforce 数据,并伴随勒索行为。谷歌称其与 UNC6240、ShinyHunters 等有关。近期 ShinyHunters、LAPSUS$ 等团伙宣布解散,但专家警告威胁或将卷土重来。
Cursor AI 代码编辑器缺陷支持通过恶意存储库静默执行代码(作者:Xiaoyune)
Oasis Security 披露,AI 驱动的编辑器 Cursor(基于 VS Code 分支)存在安全漏洞。由于默认禁用 Workspace Trust 功能,攻击者可在恶意仓库中放置 .vscode/tasks.json 文件并配置 runOn: "folderOpen",在用户仅仅打开项目文件夹时即触发 静默代码执行。这可能导致凭据泄露、文件篡改或更广泛的供应链攻击。
Oasis Security 披露,AI 驱动的编辑器 Cursor(基于 VS Code 分支)存在安全漏洞。由于默认禁用 Workspace Trust 功能,攻击者可在恶意仓库中放置 .vscode/tasks.json 文件并配置 runOn: "folderOpen",在用户仅仅打开项目文件夹时即触发 静默代码执行。这可能导致凭据泄露、文件篡改或更广泛的供应链攻击。
2025 年的云原生安全:为何运行时可视性必须成为焦点(作者:zsc0810)
云原生应用安全正经历深刻变革。容器、Kubernetes 和无服务器加速交付,但扩大了攻击面。传统预防手段不足以应对,运行时可见性成为关键,可实时判断漏洞是否被利用并降低误报。AI 正在重塑 CNAPP,帮助跨域关联信号、减少噪音并加快响应,提升 SOC 效率。同时,问责和跨团队协作至关重要,漏洞需映射到具体代码与责任团队。统一平台整合工具、减少碎片化,将成为未来主流。安全焦点正转向运行时、AI 驱动优先级与平台整合。
云原生应用安全正经历深刻变革。容器、Kubernetes 和无服务器加速交付,但扩大了攻击面。传统预防手段不足以应对,运行时可见性成为关键,可实时判断漏洞是否被利用并降低误报。AI 正在重塑 CNAPP,帮助跨域关联信号、减少噪音并加快响应,提升 SOC 效率。同时,问责和跨团队协作至关重要,漏洞需映射到具体代码与责任团队。统一平台整合工具、减少碎片化,将成为未来主流。安全焦点正转向运行时、AI 驱动优先级与平台整合。
新型混合勒索软件 HybridPetya 利用CVE-2024-7344绕过UEFI Secure Boot(作者:酒瓶椰子)
HybridPetya勒索软件具备绕过UEFI secure boot的能力通过加密主文件表,通过向EFI分区加载恶意EFI应用程序,入侵UEFI。该软件可能是由UEFI版Petya改进而来,目前是第四个具备绕过UEFI secure boot能力的案例。它将勒索软件的攻击层面从操作系统延伸到了固件级别,利用UEFI漏洞绕过安全启动机制。证明了保护固件层和及时更新系统及固件的重要性。
HybridPetya勒索软件具备绕过UEFI secure boot的能力通过加密主文件表,通过向EFI分区加载恶意EFI应用程序,入侵UEFI。该软件可能是由UEFI版Petya改进而来,目前是第四个具备绕过UEFI secure boot能力的案例。它将勒索软件的攻击层面从操作系统延伸到了固件级别,利用UEFI漏洞绕过安全启动机制。证明了保护固件层和及时更新系统及固件的重要性。
❤1
安全团队需要立即防范的 6 种基于浏览器的攻击(作者:zsc0810)
近年来,基于浏览器的攻击急剧增长,成为威胁企业安全的主要手段。攻击者通过钓鱼、ClickFix、恶意 OAuth 集成、扩展程序、恶意文件传递及凭证窃取等方式绕过传统防护,直接针对用户及其使用的 SaaS、云服务和业务应用。由于现代工作环境依赖浏览器访问分散的应用系统,攻击检测与防御难度加大。安全专家呼吁企业加强浏览器层面的安全监控,修复弱点并部署多因素认证与可见性工具,以防止凭证泄露和会话劫持等风险。
近年来,基于浏览器的攻击急剧增长,成为威胁企业安全的主要手段。攻击者通过钓鱼、ClickFix、恶意 OAuth 集成、扩展程序、恶意文件传递及凭证窃取等方式绕过传统防护,直接针对用户及其使用的 SaaS、云服务和业务应用。由于现代工作环境依赖浏览器访问分散的应用系统,攻击检测与防御难度加大。安全专家呼吁企业加强浏览器层面的安全监控,修复弱点并部署多因素认证与可见性工具,以防止凭证泄露和会话劫持等风险。
LangchainGo 通过提示词中+SSTI访问敏感文件(作者:酒瓶椰子)
CVE-2025-9556:在基于LangchainGo的LLM聊天环境中,LangchainGo依赖Gonja 模板引擎渲染动态提示,兼容了Jinja2 指令从而支持模板复用,但会引发不安全的文件交互。攻击者可以通过提示词中插入SSTI负载,使得 LangChainGo 强制加载并返回文件内容,实现任意文件读取。
CVE-2025-9556:在基于LangchainGo的LLM聊天环境中,LangchainGo依赖Gonja 模板引擎渲染动态提示,兼容了Jinja2 指令从而支持模板复用,但会引发不安全的文件交互。攻击者可以通过提示词中插入SSTI负载,使得 LangChainGo 强制加载并返回文件内容,实现任意文件读取。
CISA警告有人积极利用达索RCE漏洞(作者:longteng)
美国网络安全和基础设施安全局(CISA)警告,黑客正利用法国达索系统(Dassault Systèmes)制造运营管理(MOM)与执行(MES)解决方案DELMIA Apriso中的关键远程代码执行漏洞发起攻击。
美国网络安全和基础设施安全局(CISA)警告,黑客正利用法国达索系统(Dassault Systèmes)制造运营管理(MOM)与执行(MES)解决方案DELMIA Apriso中的关键远程代码执行漏洞发起攻击。
Case Theme User - WP插件漏洞使攻击者可通过社交登录绕过身份验证(作者:酒瓶椰子)
使用Case Theme User插件的网站,在获取用户邮箱的基础上,可实现绕过身份验证以该用户(包括管理员)身份登录网站。社交登录数据包中仅通过email检索用户后, 授予访问权限。
使用Case Theme User插件的网站,在获取用户邮箱的基础上,可实现绕过身份验证以该用户(包括管理员)身份登录网站。社交登录数据包中仅通过email检索用户后, 授予访问权限。
❤1
FileFix 变种通过多语言钓鱼网站传播 StealC 恶意软件(作者:zsc0810)
安全研究称,攻击者利用FileFix变体通过伪装成Facebook安全页面的多语言钓鱼站,诱导用户在资源管理器地址栏粘贴含恶意空格的命令,触发多阶段PowerShell与图像载荷,最终加载StealC信息窃取器。此法滥用浏览器上传与剪贴板,配合反分析与混淆,难以检测,可用于分发远控与窃密工具。
安全研究称,攻击者利用FileFix变体通过伪装成Facebook安全页面的多语言钓鱼站,诱导用户在资源管理器地址栏粘贴含恶意空格的命令,触发多阶段PowerShell与图像载荷,最终加载StealC信息窃取器。此法滥用浏览器上传与剪贴板,配合反分析与混淆,难以检测,可用于分发远控与窃密工具。
Google Chrome 零日漏洞正遭野外活跃利用(作者:酒瓶椰子)
谷歌发布紧急安全更新,以修补CVE-2025-10585。是存在于V8引擎和 WebAssembly 引擎的类型混淆漏洞。攻击者通过使用户访问特制的恶意网页,突破浏览器沙箱。在本次更新还修补了三个高危漏洞均在野活跃。及2025年披露的Chrome零日漏洞总览
谷歌发布紧急安全更新,以修补CVE-2025-10585。是存在于V8引擎和 WebAssembly 引擎的类型混淆漏洞。攻击者通过使用户访问特制的恶意网页,突破浏览器沙箱。在本次更新还修补了三个高危漏洞均在野活跃。及2025年披露的Chrome零日漏洞总览
❤1
云备份泄露事件影响不到 5% 的客户,SonicWall 敦促用户重置密码(作者:zsc0810)
SonicWall通报MySonicWall云备份安全事件:未知威胁者访问了不到5%客户的防火墙配置备份。虽备份中凭据已加密,但含可被利用的敏感信息。公司建议验证云备份状态、限制从WAN的管理访问、重置防火墙保存的密码与TOTP、检查日志并导入SonicWall提供的已修改首选项(含随机本地用户密码与IPSec密钥)。同时警告,Akira勒索组织仍在利用CVE-2024-40766攻击未修补设备。
SonicWall通报MySonicWall云备份安全事件:未知威胁者访问了不到5%客户的防火墙配置备份。虽备份中凭据已加密,但含可被利用的敏感信息。公司建议验证云备份状态、限制从WAN的管理访问、重置防火墙保存的密码与TOTP、检查日志并导入SonicWall提供的已修改首选项(含随机本地用户密码与IPSec密钥)。同时警告,Akira勒索组织仍在利用CVE-2024-40766攻击未修补设备。
ShadowLeak- 利用 ChatGPT 深度研究代理进行敏感数据窃取的零点击服务端攻击(作者:酒瓶椰子)
ChatGPT的深度研究智能体(Deep Research Agent)连接到Gmail时存在零点击漏洞,促使其向攻击者的服务器发送用户个人数据。于之前的客户端泄露不同,此次攻击直接从 OpenAI 的云端基础设施窃取数据,使得本地或企业级防御系统无法察觉。精心设计的社会工程学手段绕过了该智能体经过安全训练的防护限制,使得攻击成功率高达 100%。
ChatGPT的深度研究智能体(Deep Research Agent)连接到Gmail时存在零点击漏洞,促使其向攻击者的服务器发送用户个人数据。于之前的客户端泄露不同,此次攻击直接从 OpenAI 的云端基础设施窃取数据,使得本地或企业级防御系统无法察觉。精心设计的社会工程学手段绕过了该智能体经过安全训练的防护限制,使得攻击成功率高达 100%。
Fortra 发布针对 CVSS 10.0 GoAnywhere MFT 漏洞的关键补丁(作者:zsc0810)
Fortra 披露 GoAnywhere MFT 存在严重反序列化漏洞(CVE-2025-10035,CVSS 10.0),攻击者可借此执行任意命令。漏洞位于管理控制台的许可证 Servlet,若系统对外暴露,风险极高。Fortra 建议立即升级至 7.8.4 或 7.6.3 Sustain 版本,并限制控制台公网访问。该产品此前漏洞已遭勒索软件团伙滥用,专家警告数千实例正暴露在互联网上,极可能遭快速利用。
Fortra 披露 GoAnywhere MFT 存在严重反序列化漏洞(CVE-2025-10035,CVSS 10.0),攻击者可借此执行任意命令。漏洞位于管理控制台的许可证 Servlet,若系统对外暴露,风险极高。Fortra 建议立即升级至 7.8.4 或 7.6.3 Sustain 版本,并限制控制台公网访问。该产品此前漏洞已遭勒索软件团伙滥用,专家警告数千实例正暴露在互联网上,极可能遭快速利用。
❤1
LastPass 警告:虚假存储库可能通过 Atomic Infostealer 感染 macOS(作者:zsc0810)
LastPass 警告称,黑客正通过伪造的 GitHub 存储库针对 macOS 用户分发 Atomic 窃密恶意软件。攻击者冒充 LastPass、1Password、Dropbox、Notion、Shopify 等热门工具,并利用 SEO 中毒将恶意链接推至 Bing 和 Google 搜索结果前列,诱导用户下载伪装程序。受害者被重定向至 GitHub 页面,再进一步跳转至恶意域执行终端命令完成植入。研究显示,该活动与此前通过虚假 Homebrew 广告和多阶段木马的攻击手法类似,显示 GitHub 已成为恶意软件分发的重要渠道。
LastPass 警告称,黑客正通过伪造的 GitHub 存储库针对 macOS 用户分发 Atomic 窃密恶意软件。攻击者冒充 LastPass、1Password、Dropbox、Notion、Shopify 等热门工具,并利用 SEO 中毒将恶意链接推至 Bing 和 Google 搜索结果前列,诱导用户下载伪装程序。受害者被重定向至 GitHub 页面,再进一步跳转至恶意域执行终端命令完成植入。研究显示,该活动与此前通过虚假 Homebrew 广告和多阶段木马的攻击手法类似,显示 GitHub 已成为恶意软件分发的重要渠道。
❤1