/
沉寂17年的Excel高危漏洞重出江湖,已遭活跃利用
美国网络安全机构CISA近日发出警报,一个已有17年历史的Excel严重漏洞CVE-2009-0238(评分9.3)正被攻击者主动利用。该漏洞于2009年首次披露,攻击者可通过诱使受害者打开恶意构造的Excel文档实现远程代码执行,进而完全控制目标系统。CISA已将其列入已知可利用漏洞目录,要求联邦机构在两周内完成修补。此外,SharePoint Server欺骗漏洞CVE-2026-32201也被同步列入目录,该零日漏洞可被用于网络钓鱼和社会工程学攻击。
微软四月补丁星期二:165个漏洞集中爆发
微软四月补丁星期二共发布165个CVE修复,创下历史第二大单月修复纪录。其中SharePoint服务器漏洞CVE-2026-32201已遭攻击者利用,该漏洞因输入验证不当导致网络欺骗攻击,可用于网络钓鱼和社会工程学攻击。此外,微软Defender存在权限提升漏洞CVE-2026-33825,相关利用代码已被研究人员公开发布于GitHub。安全专家指出,本次大规模修复可能与AI工具发现漏洞数量增加有关。
"像公开银行金库图纸":AI威胁迫使Cal.com放弃开源模式
日程管理平台Cal.com宣布将代码库从开源许可证(AGPL)转为专有许可证。其CEO表示,Claude Opus等AI模型可轻易扫描开源代码寻找漏洞,开源代码"如同将银行金库蓝图公开发放"。Anthropic的Mythos模型已证明能入侵高安全级别系统。Cal.com同时发布面向爱好者的完全开源版本Cal.diy,但商业版本将关闭公开访问,以保护用户敏感预约数据。
丹斯克银行系统升级失误致2万客户地址泄露
丹斯克银行去年因计划性系统升级中的人为失误,导致约2.06万名客户的个人地址信息泄露。在长达三个月的时间里,在丹麦境内付款的客户地址对收款方可见,直至2024年10月问题被发现并修复。银行已将此事上报丹麦数据保护局及金融监管局,并于今年2月完成相关数据删除工作,同时联系其他金融机构协助清除受影响信息,并向所有受影响客户致歉。
Anthropic Project Glasswing究竟发现了多少漏洞?
Anthropic近期发布的Claude Mythos模型被称为具备强大的漏洞挖掘能力,并为此启动了"Project Glasswing"计划,邀请约50家合作伙伴进行内测。然而,安全研究员Patrick Garrity通过检索CVE数据库发现,目前可能与该项目相关的CVE记录最多仅40条,且其中仅有1条能直接与Glasswing挂钩。完整披露结果预计于2026年7月公布。
黑吃黑:勒索软件团伙0APT威胁竞争对手Krybit
两个勒索软件团伙近日爆发冲突,0APT威胁曝光与Krybit相关人员的身份信息。0APT在暗网发帖,要求Krybit付款,否则将公开其成员照片、姓名及位置,并泄露部分窃取数据作为警告。讽刺的是,0APT在帖子中将Krybit称为"对全球网络安全和数据隐私构成重大威胁"的勒索团伙。安全研究人员从已泄露文件中发现了Krybit运营者的明文凭据及加密货币钱包地址。此类黑客互攻事件并非首例,2025年DragonForce曾攻击BlackLock等竞争团伙。
Gmail企业端对端加密扩展至Android与iOS移动设备
谷歌宣布将Gmail客户端加密(CSE)扩展至Android和iOS设备,企业用户无需额外应用即可在Gmail App中收发端对端加密邮件。该功能仅面向订阅Enterprise Plus含Assured Controls版本的组织,加密密钥由客户自行管理,谷歌无法访问加密内容。分析师指出,此举有助于受监管行业满足HIPAA、GDPR等合规要求,但同时需注意部分Gmail功能将被禁用,且可能被不法分子利用规避安全过滤工具。
微软4月补丁星期二更新:Defender与SharePoint现零日漏洞
微软于4月14日发布本月补丁更新,涉及超过160个独立漏洞,加上第三方及Chromium补丁共近250项,规模创历史之最。其中包含两个零日漏洞:CVE-2026-32201为SharePoint Server跨站脚本漏洞,已被野外利用;CVE-2026-33825为Defender权限提升漏洞,已公开披露但暂未发现利用案例。此外还有8个严重级别漏洞及一个Chromium远程代码执行漏洞,安全专家建议企业立即优先部署补丁。
微软僵尸漏洞死灰复燃,为犯罪分子和勒索软件团伙打开缺口
美国网络安全和基础设施安全局(CISA)近日将四个微软漏洞列入已知被利用漏洞目录,其中一个漏洞早在14年前已被修补,另一个与勒索软件活动相关。四个漏洞分别涉及Windows权限提升、Windows日志文件系统驱动缺陷、Exchange Server远程代码执行及Visual Basic组件不安全加载问题。CISA要求联邦机构在两周内完成修补,并警告此类漏洞是恶意攻击者的惯用入侵途径。
OpenAI发布面向安全专业人士的GPT-5.4-Cyber网络安全模型
OpenAI正式推出GPT-5.4-Cyber,这是专为防御性网络安全工作设计的定制模型,支持二进制逆向工程等高级功能。该模型通过"网络可信访问计划"向经过身份验证的安全专业人员开放,并新增分级验证机制。目前Codex Security已协助修复超过3000个高危漏洞。OpenAI表示,此举旨在将先进防御工具尽可能广泛地提供给安全从业者,同时通过自动化验证系统防止滥用。
SES与波音及日本航空达成机载多轨道卫星连接合作
卫星服务商SES在机载互联网连接领域取得重要进展:与波音达成合作,将于工厂生产阶段在波音737及787梦想客机上预装多轨道电子扫描阵列天线系统,实现交付即联网;同时与日本航空签署协议,为其41架空客A350及波音787远程机队部署多轨道连接解决方案,覆盖低轨与地球静止轨道卫星,提供低延迟、高可靠的空中上网服务。
土耳其正式启动5G商用服务,力推本土设备生产目标
土耳其本月正式推出5G商用服务,Turkcell、Vodafone Turkey和Türk Telekom三大运营商同步在全国81个省级中心开通5G网络,计划两年内实现全国覆盖。此次5G频谱拍卖筹资29.5亿美元,超出政府预期目标。土耳其5G战略的突出特点是强调技术自主,规定60%设备须为国产,并要求运营商每年投入5%营收用于基础设施建设,推动本土科技产业发展。
Booking.com警告:用户预订数据可能已遭未授权访问
Booking.com近日向受影响用户发送邮件,提示其预订信息可能已被未授权第三方获取,涉及姓名、联系方式、预订日期及与酒店的沟通记录。公司表示财务数据未受波及,已重置预订PIN码,但未披露受影响用户数量。此次事件与其过往记录相似——2021年曾因酒店员工账号被攻破导致数据泄露,被荷兰监管机构罚款47.5万欧元。当前最大风险在于攻击者利用真实预订数据实施精准钓鱼攻击。
Rockstar Games遭ShinyHunters威胁:付钱消灾还是数据泄露?
黑客组织ShinyHunters声称通过云成本监控工具Anodot入侵了Rockstar Games的Snowflake数据仓库,窃取身份验证令牌后冒充合法内部服务访问数据,并发出"付款或泄露"的最后通牒,截止日期为2026年4月14日。Rockstar官方确认发生第三方数据泄露,但称涉及信息有限,不影响玩家和运营。这是Rockstar继2022年GTA VI视频泄露事件后再度遭遇数据安全威胁。
量子计算新进展将身份验证安全推至关键议题
随着量子计算硬件快速进步,谷歌与Cloudflare已将量子威胁截止日期提前至2029年。研究显示,量子计算机仅需1200至1450个逻辑量子比特即可破解椭圆曲线加密,而该加密广泛用于身份认证与数字签名。专家指出,相比数据加密,身份认证系统被攻破的后果更为灾难性。企业需建立专项量子安全团队,尽早部署后量子密码体系,切勿等待"量子时刻"真正到来。
英国数据中心如何应对隐私与网络安全双重压力
英国数据中心已成为国家关键基础设施,正面临日趋严格的监管环境。在数据隐私方面,运营商须遵守UK GDPR及DPA 2018等法规,确保个人数据处理合规;在网络安全方面,《网络韧性法案》将数据中心纳入NIS监管框架,要求24小时内上报安全事件,违规将面临营业额比例罚款。此外,数据跨境流动规则也随《数据使用与访问法》更新而调整。运营商需建立清晰的合规流程与合同安排,以应对多重法律风险。
Akamai 任命张轲为大中华区销售副总裁
阿卡迈技术公司宣布任命张轲(Chandler Zhang)为大中华区销售副总裁(Regional Vice President, Sales, Greater China),全面负责大中华区的业务战略规划与拓展工作。
Rockstar Games再度遭黑客入侵,数据泄露风险迫在眉睫
《侠盗猎车手》发行商Rockstar Games再度遭受网络攻击。黑客组织ShinyHunters利用AI云分析工具Anodot的漏洞,通过窃取的身份验证令牌成功入侵Rockstar的Snowflake数据仓库,并威胁于2026年4月14日公开所获数据。Rockstar确认有少量非重要公司信息被访问,表示不影响组织运营及玩家。安全专家警告,第三方供应商已成为网络攻击的重要突破口,企业须高度重视供应链安全管理。
Adobe修复遭滥用数月的PDF零日漏洞
Adobe于4月11日发布补丁,修复了Acrobat和Reader中的零日漏洞CVE-2026-34621。该漏洞影响Windows和macOS平台,可导致任意代码执行。攻击者利用恶意PDF中高度混淆的JavaScript,通过合法API收集系统信息,并可下载二阶段载荷实现远程控制或沙箱逃逸。研究人员发现,此攻击活动最早可追溯至2025年底,部分诱饵文件以俄语书写并涉及油气行业主题,疑为定向攻击。Adobe未披露受影响用户数量。
LinkedIn数据收集行为遭质疑,企业用户隐私安全引发关注
LinkedIn拥有超过10亿商业用户,掌握大量可识别个人信息,包括可能涉及宗教与政治倾向的敏感数据。一家欧洲小公司发起"BrowserGate"活动,指控LinkedIn在用户不知情的情况下扫描其设备已安装软件,并将数据传输给第三方。LinkedIn否认部分指控,但拒绝回应其是否仅将数据用于声明目的。网络安全专家建议企业CIO将此事件作为契机,重新审视数据策略,并考虑在敏感网络中限制LinkedIn访问。
京公网安备 11010802021500号
