/
微软与研究员争议持续,终于修复遭公开披露的零日漏洞
微软在6月补丁日修复了高危零日漏洞CVE-2026-45586,该漏洞由化名"Nightmare Eclipse"的研究员披露。此前双方因漏洞披露协议破裂而交恶,研究员陆续公开多个未修复漏洞。本次修复的漏洞涉及Windows协作翻译框架,属本地权限提升类型,可被链式利用获取SYSTEM权限。此外,研究员披露的另一漏洞MiniPlasma似乎也已被悄然修复,但微软未提供相关CVE编号。本轮补丁共修复约200个漏洞。
微软发布史上最大规模补丁星期二更新,修复近200个漏洞
微软最新一期补丁星期二更新修复了约200个安全漏洞,打破此前约170个CVE的历史记录,其中包括32个严重漏洞和3个零日漏洞。安全专家警告,AI正在加速漏洞发现速度,微软今年修复的CVE数量已超过2018年全年总量。加上谷歌Chrome等第三方漏洞,本月修复总数接近600个,业界直呼"补丁末日"已然来临。
AI加速身份冒充攻击,企业防御体系面临严峻挑战
安全公司Outtake发布报告指出,今年已有超过53%的企业遭遇针对高管或员工的冒充攻击。AI生成的虚假媒体内容开辟了企业反欺诈的"第二战线",近半数企业已确认或怀疑遭遇AI合成媒体冒充事件。然而,75%的受访者仅进行有限监控或被动应对。更令人担忧的是,仅4%的企业对AI智能体实施全面监控,治理碎片化问题突出,超60%企业的数字信任风险管理处于分散孤立状态。
勒索软件正在暴露海湾企业的韧性缺口
研究显示,69%的勒索软件受害者在攻击前自认为准备充分,但事后信心骤降逾20个百分点。海湾地区企业面临严峻威胁:UAE在2025年上半年全球网络攻击频率中排名第九,沙特跻身中东第五。Sophos数据显示,UAE组织支付了92%的赎金要求,高于全球平均水平。专家指出,问题根源在于企业虽投资备份基础设施,却从未在真实条件下测试完整恢复流程,且现代勒索软件会直接攻击备份库。
黑客利用AI客服漏洞攻陷逾两万个Instagram账户
黑客通过欺骗Meta的AI客服聊天机器人,成功对他人Instagram账号发起密码重置,共约20,225个账号遭到入侵,其中包括白宫、美国太空军及安全研究员Jane Wong的账号。攻击手法极为简单,黑客可借此获取用户个人信息、私信及账号活动记录。目前,Meta已关闭被滥用的工具,并使相关密码重置链接失效,同时强制受影响账号进行安全验证并重置密码。
Synnovis勒索攻击波及范围持续扩大,更多NHS信托机构相继披露
2024年,黑客组织Qilin对NHS实验室服务合作商Synnovis发动勒索软件攻击,导致超过400GB敏感数据外泄。事件发生近18个月后,调查仍在持续扩大。埃塞克斯中南部NHS基金会信托(MSE)确认约2380条患者记录受影响,贝德福德郡医院NHS信托亦披露近3万名患者数据遭窃。安全专家警告,漫长的调查周期和迟滞的信息披露,正向有组织的网络犯罪团伙发出"可乘之机"的危险信号。
ChatGPT新增锁定模式:如何保护你的数据免遭窃取
ChatGPT推出"锁定模式"(Lockdown Mode),旨在应对提示注入攻击带来的数据泄露风险。该模式最初面向企业、教育及医疗用户,现已向免费版、Plus、Pro等所有计划开放。开启后,系统将限制对外网络请求,防止敏感信息被恶意指令窃取,但也因此无法使用实时网络搜索等功能。用户可在ChatGPT设置的"安全"选项中手动开启此模式。
微软开源包再遭入侵,凭证窃取恶意代码连续两次攻击
微软旗下GitHub平台近期发生第二起供应链攻击事件,73个经过密码学验证的开源包被植入高级凭证窃取代码。该恶意软件"Miasma"与TeamPCP组织的Mini Shai-Hulud工具包高度相似,可窃取AWS、Azure、GCP等平台凭证,并通过云基础设施横向传播。攻击者利用合法的OIDC令牌绕过构建管道,且每次感染生成独特加密载荷,使传统哈希检测失效。恶意代码在开发者使用Claude Code、Gemini CLI等AI编程工具时即被触发。
900 MHz频段之争:NextNav的FCC申请将如何影响电力公用事业
美国FCC正审议NextNav公司提出的900MHz频段重配置申请,拟允许其部署全国高功率5G宽带网络。该频段目前是超1.6亿块智能电表及电网SCADA系统的核心通信基础。若申请获批,现有非授权频谱设备可用空间将缩减60%,预计给电力行业带来逾1000亿美元替换成本,并波及医疗、交通、公共安全等多个关键领域,最终推高用户电费。目前国会已介入,FCC尚未正式发布新规。
攻击者正在利用未修补的Cisco SD-WAN漏洞
思科警告用户,其Catalyst SD-WAN Manager存在一个正被积极利用的高危漏洞(CVE-2026-20245),CVSS评分7.8。该漏洞位于命令行界面,允许已认证攻击者将权限提升至root并接管整个系统。攻击者可通过窃取凭证或利用旧版认证绕过漏洞获取所需权限。目前尚无补丁,思科建议升级至最新版本,并检查边缘设备配置。若确认系统已被入侵,仅更新软件无法解决问题,需联系思科技术援助中心获取专项修复方案。
Microsoft Edge密码管理器将强制使用Windows Hello进行身份验证
微软Edge浏览器145版本更新后,正式移除了Windows平台上密码管理器的主密码支持。用户现在必须通过Windows Hello进行身份验证,支持PIN码、指纹或面部识别等方式。此举旨在提升密码管理器的安全性,避免传统字符串密码带来的风险。相比之下,谷歌密码管理器仍允许使用传统密码访问。本次更新于2026年6月4日正式推送。
阿联酋推出国家密码发现平台,加速向后量子安全体系过渡
阿联酋网络安全委员会与阿布扎比网络安全公司QuantumGate联合推出国家级加密资产发现工具(CDT),作为国家后量子迁移计划的核心组成部分。该平台可自动识别、编目和管理组织内部的加密系统,帮助企业在量子计算时代到来前完成向抗量子加密标准的迁移。其输出结果将整合至国家网络安全指数平台,形成全国性后量子密码学准备度指数,推动阿联酋构建领先的数字安全体系。
AI生成代码速度已超越安全防护能力,Snyk推出持续攻防测试产品
Snyk正式进军AI驱动渗透测试市场,推出Evo持续攻击性安全产品(Evo COS)。该产品旨在解决传统渗透测试覆盖率不足的问题——传统方案平均每年仅提供15天测试覆盖,留下350天安全盲区。Evo COS结合确定性扫描与大语言模型推理,可识别业务逻辑漏洞、授权绕过等复杂威胁,并支持针对AI应用的红队测试。目前产品处于早期访问阶段,计划于2026年8月Black Hat USA期间正式发布。
红帽npm包遭入侵,开发者凭证面临泄露风险
安全研究人员发现,超过30个红帽云服务相关npm包遭到供应链攻击,被植入恶意代码,可在安装时自动执行并窃取开发者的npm认证令牌、环境变量及云端凭证等敏感信息。此次攻击活动被命名为"Miasma",恶意载荷源自Mini Shai-Hulud恶意软件家族。攻击者还伪造了合法的SLSA来源证明以规避检测。目前大多数受感染包版本已被撤销,建议受影响组织立即轮换凭证并审查发布权限。
GitHub浏览器版VSCode编辑器存在安全漏洞,开发者Token面临被盗风险
安全研究员Ammar Askar披露了GitHub浏览器版VSCode编辑器(github.dev)中的一个漏洞。该漏洞源于OAuth令牌未限定访问范围,攻击者可通过恶意Jupyter Notebook扩展窃取令牌,进而访问开发者所有私有代码库。微软已实施临时修复措施。此次事件还引发了关于漏洞披露规范的讨论:研究员因曾被忽视贡献,仅提前一小时通知微软即公开漏洞,引发业界对供应商与研究人员权责平衡问题的广泛关注。
OpenAI推出会话管理功能,AI治理挑战依然严峻
OpenAI为ChatGPT推出"活跃会话"安全功能,允许用户和管理员查看并终止跨设备的登录会话,涵盖设备信息、位置及登录时间等详情。该功能适用于所有账户类型,但不支持SSO企业账户及第三方应用会话。尽管专家认为此举有助于提升账户安全性,但也指出其姗姗来迟且功能基础。更深层的挑战在于,面对模型持续迭代更新,企业AI治理框架难以跟上节奏,如何对动态演进的AI服务实施有效治理,已成为行业亟待解决的核心难题。
OpenAI推出锁定模式,防范提示注入攻击保护敏感数据
OpenAI发布全新"锁定模式"功能,旨在防范提示注入攻击——即恶意指令被隐藏于网页或其他内容中的安全威胁。开启该模式后,ChatGPT将禁用实时网页浏览、网络图片检索、深度研究及代理模式等功能。OpenAI坦承,即便启用锁定模式,仍存在一定风险。该功能主要面向处理敏感数据、需要更严格数据防泄露保护的用户和企业,目前正向ChatGPT商业自助账户及符合条件的个人账户逐步开放。
"别慌":冷静评估AI风险成网络安全峰会主旋律
在年度Gartner安全与风险管理峰会上,多位分析师警告安全领导者不要对AI驱动的网络威胁过度恐慌。Anthropic Claude Mythos和OpenAI Daybreak等新模型虽加快了漏洞发现速度,但专家强调防御重点仍应聚焦基础工作,如资产暴露管理和补丁优先级部署。与此同时,分析师提醒企业警惕过度投资生成式AI平台、忽视人才培养的风险,盲目裁减有经验的安全人员可能造成难以弥补的能力损失。
Flowise MCP实现存在严重远程代码执行漏洞
安全研究人员发现,开源AI平台Flowise在实现模型上下文协议(MCP)stdio服务器时存在严重漏洞(CVE-2026-40933,CVSS评分9.9)。攻击者可通过恶意导入聊天流,无需保存或运行即可触发远程代码执行,进而获取API密钥、数据库及云资源等敏感信息。该漏洞源于平台允许用户配置含任意命令的MCP stdio服务器。官方已多次修复但均可被绕过,研究人员建议将CUSTOM_MCP_PROTOCOL设为SSE以彻底规避风险。
Dashlane披露攻击者如何成功下载加密密码库
密码管理服务商Dashlane披露了一起针对其用户的协调性黑客攻击事件。攻击者利用设备注册API接口发起暴力破解,通过向大量账户同时尝试一次性验证码(2FA喷洒攻击)的方式,成功对不足20个账户完成新设备注册并下载了加密密码库副本。Dashlane的自动安全系统及时介入并锁定受影响账户,已通知所有相关用户。由于密码库内容需主密码解密,加之Dashlane采用Argon2算法保护,攻击者实际获取明文数据的难度依然极高。
京公网安备 11010802021500号
