/
微软与研究员争议持续,终于修复遭公开披露的零日漏洞
微软在6月补丁日修复了高危零日漏洞CVE-2026-45586,该漏洞由化名"Nightmare Eclipse"的研究员披露。此前双方因漏洞披露协议破裂而交恶,研究员陆续公开多个未修复漏洞。本次修复的漏洞涉及Windows协作翻译框架,属本地权限提升类型,可被链式利用获取SYSTEM权限。此外,研究员披露的另一漏洞MiniPlasma似乎也已被悄然修复,但微软未提供相关CVE编号。本轮补丁共修复约200个漏洞。
GitHub浏览器版VSCode编辑器存在安全漏洞,开发者Token面临被盗风险
安全研究员Ammar Askar披露了GitHub浏览器版VSCode编辑器(github.dev)中的一个漏洞。该漏洞源于OAuth令牌未限定访问范围,攻击者可通过恶意Jupyter Notebook扩展窃取令牌,进而访问开发者所有私有代码库。微软已实施临时修复措施。此次事件还引发了关于漏洞披露规范的讨论:研究员因曾被忽视贡献,仅提前一小时通知微软即公开漏洞,引发业界对供应商与研究人员权责平衡问题的广泛关注。
Flowise MCP实现存在严重远程代码执行漏洞
安全研究人员发现,开源AI平台Flowise在实现模型上下文协议(MCP)stdio服务器时存在严重漏洞(CVE-2026-40933,CVSS评分9.9)。攻击者可通过恶意导入聊天流,无需保存或运行即可触发远程代码执行,进而获取API密钥、数据库及云资源等敏感信息。该漏洞源于平台允许用户配置含任意命令的MCP stdio服务器。官方已多次修复但均可被绕过,研究人员建议将CUSTOM_MCP_PROTOCOL设为SSE以彻底规避风险。
微软威胁对安全研究人员展开刑事调查,遭业界强烈批评
一名代号为"Nightmare Eclipse"的安全研究员公开披露了多个微软产品漏洞(包括Defender和BitLocker中的缺陷),并附上利用代码,微软随即发博文批评其未经协调便公开披露,并暗示将启动法律程序。此举在网络安全社区引发强烈反弹。漏洞赏金制度先驱Katie Moussouris警告,此举将令研究员失去对微软的信任,产生寒蝉效应,最终损害所有用户的安全。
混合云存在双重攻击面,但企业的安全防护力度远远不够
以色列安全研究人员在微软Windows管理中心(WAC)中发现了四个CVE漏洞,揭示混合云管理工具存在双向攻击面风险。研究发现,WAC本地版安装目录缺乏写保护,攻击者可植入恶意软件;此外,POP令牌验证机制存在缺陷,可被重用或伪造,进而攻击Azure租户虚拟机。微软已修复相关漏洞,最高CVSS评分7.8。研究人员警告:混合云管理平面是被严重忽视的攻击面,企业必须同等重视云端与本地安全防护。
AI厂商将安全漏洞推卸给用户,责任意识严重缺失
当AI厂商大力鼓吹企业用AI解决安全问题的同时,一旦AI自身存在漏洞,却以"符合预期行为"或"设计如此"为由推卸责任。近期研究人员发现,Anthropic、Google、Microsoft的三款AI代理工具存在可被劫持的漏洞,三家厂商虽支付了漏洞赏金,却均未发布CVE或公开安全公告。Anthropic的MCP协议被曝存在设计缺陷,威胁约20万台服务器,但Anthropic拒绝修复,称其为"预期行为",将安全责任转嫁给开发者和企业用户。
Coolify开源托管平台曝出11个严重漏洞可完全攻陷服务器
网络安全研究人员披露了开源自托管平台Coolify的多个关键安全漏洞,可导致身份验证绕过和远程代码执行。这11个漏洞涉及命令注入、信息泄露和跨站脚本攻击,CVSS评分高达10.0分。攻击者可利用这些漏洞在受管服务器上执行任意命令,获取root权限,实现完全的基础设施入侵。目前全球约有52,890台Coolify主机暴露在外,主要分布在德国、美国、法国等地。用户应尽快升级到修复版本。
京公网安备 11010802021500号
