/
阿联酋网络安全委员会与戴尔合作,共建网络安全卓越中心
阿联酋网络安全委员会与戴尔技术公司在阿布扎比联合成立网络安全卓越中心,重点布局AI、云计算及物联网安全技术,提升实时威胁检测与响应能力。该中心同时承担人才培养职能,提供网络模拟演练与技术培训。背景是阿联酋每日面临逾80万次网络攻击。此举与上周发布的"UAE网络工厂"计划相辅相成,共同推动本土网络防御技术自主化发展。
AI发现两周内第三个重大Linux内核安全漏洞
两周内,AI安全工具已连续发现三个严重的Linux内核本地提权漏洞。最新漏洞"Fragnesia"由安全公司Zellic利用AI代理审计工具V12披露,攻击者可通过滥用Linux XFRM子系统的逻辑缺陷,向只读文件的内核页缓存写入任意字节,无需竞争条件即可获得root权限。该漏洞CVSS评分7.8,影响所有主流Linux发行版,在云容器环境中危害尤为严重。目前上游补丁已可用,各发行版预计近期推送修复。
零日漏洞利用完全绕过Windows 11默认BitLocker加密保护
一个名为YellowKey的零日漏洞近日在网络上流传,攻击者只需物理接触Windows 11设备,即可在数秒内绕过BitLocker默认加密保护,获取加密驱动器的完整访问权限。该漏洞由研究人员Nightmare-Eclipse发布,核心利用了自定义FsTx文件夹,通过USB启动并进入Windows恢复环境,无需输入BitLocker恢复密钥即可访问全盘内容。多位安全研究人员已确认该漏洞有效,目前其底层原理仍在分析中。
Calif团队五天攻破苹果M5内存安全防护,AI模型立功
加州安全公司Calif团队披露了如何借助Anthropic Mythos Preview模型,在五天内成功突破苹果耗时五年打造的内存完整性执行(MIE)安全机制,并在M5芯片上实现macOS内核内存破坏漏洞利用。该漏洞利用链从非特权本地用户出发,仅使用常规系统调用,最终获得root权限。团队表示,Mythos Preview帮助快速识别漏洞,而MIE绕过则依赖人机协作完成,完整技术报告将等苹果修复后公开。
欧洲光纤覆盖加速推进 性能焦点转向家庭内部体验
Opensignal最新研究显示,截至2025年9月,欧盟27国及英国FTTH/B网络已覆盖1.91亿户家庭(76.8%),但仅有1.05亿户(42.1%)完成订阅,激活率仅54.9%。法国、西班牙在光纤普及率和网速表现上领先,而英国、德国等市场仍受制于传统有线网络。研究指出,制约宽带体验的瓶颈已从基础设施建设转移至室内Wi-Fi环境,升级至Wi-Fi 6E或Wi-Fi 7是提升用户体验的关键。
苹果macOS 26.4新增终端粘贴警告 抵御社会工程攻击
Apple将在macOS 26.4中为Terminal应用新增粘贴警告功能,当普通用户向Terminal粘贴内容时系统将自动提示风险,以应对ClickFix等利用虚假macOS工具诱导用户安装恶意脚本的攻击手段。此外,macOS 26.4还将FileVault恢复密钥纳入端对端加密的"密码"应用,方便用户跨设备找回密钥。尽管技术防护持续升级,Orange Cyberdefense数据显示,员工仍是57%安全事件的根源,安全意识培训依然不可或缺。
思科警告SD-WAN漏洞遭实际利用 严重性达最高级
思科披露了影响Catalyst SD-WAN Controller与SD-WAN Manager平台的最高严重性身份验证绕过漏洞(CVE-2026-20182,CVSS 10.0),该漏洞已于2026年5月被发现遭到有限利用。攻击者可通过发送构造的控制连接请求,绕过身份验证并获取管理员权限,进而操控网络配置。目前已有软件更新修复该漏洞,CISA已将其列入已知利用漏洞目录,无可用临时缓解措施,建议立即升级至修复版本。
爱立信推动无线广域网从备份角色升级为核心基础设施
爱立信发布Cradlepoint W2255适配器及增强版NetCloud无线WAN编排功能,旨在帮助企业将无线广域网从备用链路升级为核心网络基础设施。研究显示,重大网络中断损失可超50万美元,三分之一以上企业损失达百万美元。新方案融合5G与低轨卫星连接,支持双SIM双待机、多WAN可视化、5G网络切片及自动运营商选择,可大幅提升分布式企业网络的弹性与可控性。
AI将如何重塑Mac管理员的网络安全培训方式
传统网络安全培训依赖年度视频和答题,效果有限。Dashlane与KnowBe4的最新集成展示了AI如何改变这一现状:当员工误入钓鱼页面或使用泄露凭据时,系统不仅自动拦截,还即时触发针对性的微培训模块。这种"事件驱动"的实时教育方式,让培训发生在错误刚刚发生的当下,比定期培训更有效。对Mac管理员而言,这代表着企业安全意识培训的重要演进方向。
Oracle加快安全补丁发布节奏以应对AI网络安全威胁
Oracle宣布将其ERP、数据库等软件的安全补丁发布周期从季度改为月度,以应对AI加速发现软件漏洞带来的安全威胁。首个月度关键安全补丁更新(CSPU)将于5月28日发布,此后每月第三个周二发布。Oracle同时保留季度累积补丁更新机制。该公司借助OpenAI和Anthropic的Claude等AI模型,加速识别和修复漏洞。此次调整主要影响本地部署用户,云托管用户补丁将自动应用。
Via Africa海底电缆项目:强化欧非互联互通
Via Africa海底电缆项目正式发布,旨在强化欧洲与非洲之间的网络连接。该项目将沿大西洋海岸铺设海底电缆,连接英国、法国、葡萄牙等欧洲国家与毛里塔尼亚、塞内加尔、尼日利亚等西非国家,最终延伸至南非。项目采用联合体模式运营,沃达丰、Orange集团等多家欧非电信运营商已签署合作备忘录。随着非洲大陆云服务与AI需求持续增长,该项目将有效提升区域网络的韧性与多样性。
AI求职诈骗正在愚弄聪明人,你需要了解这些防骗技巧
AI求职诈骗正以惊人速度蔓延。据安全公司McAfee数据,2025年某三个月内,求职相关诈骗激增逾1000%。诈骗手段包括虚假职位列表、深度伪造视频面试及冒充招聘官等。专家建议:警惕过于诱人的薪资待遇、跨平台核实对方身份、拒绝预付款要求、开启多因素认证,并善用LinkedIn验证徽章、McAfee等AI防护工具,主动防范个人信息泄露风险。
微软智能体安全系统MDASH发现四个Windows高危漏洞
微软推出代号为MDASH的AI驱动漏洞发现系统,成功挖掘出16个此前未知的Windows网络与认证组件漏洞,其中包括四个已在本月补丁星期二中修复的严重远程代码执行漏洞。MDASH由微软自主代码安全团队开发,可协同100余个专业AI代理协作运行。该系统在公开基准测试CyberGym中以88.45%的得分位居榜首,目前已在微软内部使用,并向部分客户开放私人预览测试。
vm2 JavaScript沙箱发现13个严重漏洞,可执行任意代码
研究人员在vm2 JavaScript沙箱库中发现13个严重漏洞,攻击者可借此突破容器限制并在宿主系统执行任意命令。其中CVE-2026-26956可在特定Node.js 25与WebAssembly组合环境下完全逃逸沙箱,CVE-2026-44007则通过nesting:true配置选项触发权限控制缺陷。安全研究人员建议开发者立即升级至vm2 3.11.2版本,并考虑将不可信代码迁移至Docker容器或V8 Isolates等更强隔离方案中运行。
ClickFix已成2025年Mac感染主要方式,专家深度解析其威胁
本期Security Bite播客邀请macOS逆向工程师Christopher Lopez与MacPaw Moonlock Lab研究员Kseniia Yamburkh,深入剖析ClickFix社会工程攻击技术。该技术已导致2025年近半数网络安全事件,嘉宾探讨了受害者画像、攻击爆发原因、Mac恶意软件在2026年的演变趋势及当前安全威胁格局。
Venmo隐私问题在被曝光八年后终于迎来修复
数字支付应用Venmo长期存在隐私问题——用户交易记录、附带消息及联系人默认对外公开。早在2018年,安全研究人员就通过API获取了大量用户个人数据,此问题引发广泛关注。2024年该漏洞再度曝光,涉及美国政界人士的社交关系网络。如今,母公司PayPal终于着手改变默认隐私设置,新用户发帖将默认仅对好友可见,新版应用将在未来数周内陆续推出。
AI网络攻击或将引发全球金融危机,IMF发出严重警告
国际货币基金组织(IMF)警告,AI驱动的网络攻击可能引发全球金融危机。金融系统对共享云服务的高度依赖,使单一漏洞可能波及多家机构。Anthropic推出的AI模型Mythos能大规模识别软件漏洞,甚至非专业人士也可利用其发动攻击,引发广泛担忧。IMF呼吁各国加强国际合作与监管,并强调金融机构须建立健全的网络韧性策略与实时风险可见性,方能有效应对日益升级的AI网络威胁。
荷兰量子技术领先,但量子安全防护严重滞后
荷兰审计法院近期报告显示,虽然荷兰在量子研究领域处于欧洲领先地位,并已累计投入6.15亿欧元建设量子生态系统,但71%的政府机构尚未采取任何措施应对量子计算机对现有加密体系的潜在威胁。荷兰情报部门警告,"Q日"(量子计算机可破解现有非对称加密的时间节点)最早可能于2030年到来。报告指出,主要障碍在于技术能力不足、专业人才匮乏以及缺乏紧迫感。
BT集团成为UEFA欧洲杯2028官方电信合作伙伴
BT集团宣布成为2028年欧洲杯官方电信合作伙伴,赛事将于2028年6月至7月在英国及爱尔兰举办。BT将为九大球场、24个球队基地及全球逾20亿观众提供网络连接服务,覆盖公共直播、eSIM及主办城市网络优化。与此同时,BT发布"Behind Brilliant Things"品牌campaign,推出新一代智能路由器、改版MyBT应用及宽带用户专属移动套餐,并为所有家庭宽带用户提供免费网络安全防护。
iOS 26.5正式开启安卓与iPhone之间的RCS端对端加密通信
随着iOS 26.5的发布,Android与iPhone之间支持端对端加密的RCS消息功能开始逐步向用户推送。此次加密实现基于GSMA的RCS通用协议,确保跨平台消息无法被第三方读取。Google Messages用户将看到与以往相同的锁定图标,而iOS消息应用则会显示加密状态标识。该功能默认开启,但目前仍处于Beta阶段,将在未来数月内自动覆盖新旧RCS会话,同时需要运营商支持方可使用。
京公网安备 11010802021500号
