/
首个被证实使用量子安全加密的勒索软件家族出现
安全公司Rapid7近日逆向分析了一款名为Kyber的勒索软件,确认其Windows变体使用了ML-KEM1024(后量子密码学标准中最高强度版本)来保护AES-256加密密钥,成为首个经证实使用后量子密码学技术的勒索软件。研究人员指出,此举更多是一种营销噱头,旨在威慑非技术背景的决策者,而非出于实际安全需要——毕竟能够破解现有加密的量子计算机距今至少还有三年以上。
微软紧急发布补丁修复ASP.NET Core高危漏洞,macOS与Linux用户须警惕
微软针对ASP.NET Core发布紧急补丁,修复编号为CVE-2026-40372的高危漏洞(严重性评分9.1/10)。该漏洞影响Microsoft.AspNetCore.DataProtection NuGet包10.0.0至10.0.6版本,因加密签名验证缺陷,攻击者无需身份认证即可伪造HMAC验证载荷,进而获取SYSTEM级系统权限。Windows应用不受影响,主要波及macOS和Linux平台用户。微软建议尽快升级至10.0.7版本,并轮换DataProtection密钥环。
量子计算并不会让AES 128加密失效,误解需要澄清
密码学工程师Filippo Valsorda近日发文澄清一个长期流传的误解:AES 128在后量子时代并不会因量子计算机而变得不安全。尽管有观点认为Grover算法会将AES 128的有效安全强度减半至64位,但这一说法忽略了关键事实——Grover算法无法像经典计算那样高效并行化。综合实际物理限制,AES 128的真实破解成本约为2的104次方,远超安全阈值。
谷歌与Cloudflare加速后量子密码部署,2029年成新关键节点
谷歌和Cloudflare近期将内部后量子密码学(PQC)就绪截止日期提前至2029年,比原计划提前约五年。这一调整源于两项研究显示,具备密码破解能力的量子计算机可能比预期更早出现。目前RSA和椭圆曲线算法面临被量子计算机攻破的风险。斯坦福大学密码学家Dan Boneh指出,将互联网迁移至后量子体系是一项艰巨工程,提前设定目标有助于留出缓冲时间,避免错过窗口期。
GPU行安全漏洞:针对英伟达GPU的Rowhammer新型攻击
研究人员披露三种针对Nvidia高性能GPU的新型Rowhammer攻击。由于高性能GPU价格高昂,云环境中通常由多用户共享,攻击者可利用GDDR内存硬件的比特翻转漏洞,通过诱导GPU页表损坏,实现对CPU内存的任意读写,最终获得主机完整root权限。其中第三种攻击GDDRHammer即使在IOMMU启用的情况下仍可奏效,威胁更为严峻。
谷歌将Q Day防御截止日期提前至2029年
谷歌近日宣布,将应对"Q日"(即量子计算机可破解现有公钥加密算法的时间节点)的内部准备截止时间提前至2029年,远早于此前预期。谷歌呼吁全行业加速采用后量子密码学(PQC)算法。与此同时,谷歌首次公开披露Android系统的抗量子路线图,Android 17 Beta版将支持ML-DSA数字签名算法,并计划对Play Store及应用签名体系进行PQC迁移。业内专家对这一激进时间表感到意外。
Trivy漏洞扫描器遭供应链攻击,大量版本被植入恶意代码
Aqua Security旗下广泛使用的开源漏洞扫描工具Trivy近期遭遇供应链攻击,几乎所有版本均受波及。攻击者利用此前泄露的凭证,通过强制推送方式篡改75个trivy-action标签,植入恶意代码。该恶意程序会扫描开发管道中的GitHub令牌、云凭证、SSH密钥等敏感信息,加密后发送至攻击者服务器。目前仅@0.35.0版本未受影响,受影响用户应立即轮换所有管道密钥。
利用不可见代码发动供应链攻击,GitHub等代码仓库遭殃
安全公司Aikido Research发现,3月3日至9日间,151个含有隐形恶意代码的软件包被上传至GitHub、NPM及Open VSX等代码仓库。攻击者利用Unicode私有区字符编写恶意载荷,这些字符在编辑器和代码审查工具中完全不可见,严重削弱了传统防御手段的效果。研究人员怀疑攻击组织"Glassworm"借助大语言模型批量生成外观合法的恶意包。建议开发者在引入第三方包前仔细审查包名及依赖项,防范供应链攻击风险。
1.4万台路由器遭难以清除的恶意软件感染,Asus设备成重灾区
安全研究人员发现了一个由约1.4万台路由器组成的僵尸网络,主要涉及华硕设备。该恶意软件名为KadNap,利用未修补的漏洞入侵设备,并将其纳入匿名代理网络用于网络犯罪。KadNap基于Kademlia点对点架构,采用分布式哈希表隐藏指挥控制服务器IP地址,使其极难被检测或封锁。受感染设备主要集中在美国,感染数量从去年8月的1万台增至目前的1.4万台。Black Lotus Labs已开发出流量拦截方案并公开了攻陷指标。
美国联邦机构关注被神秘利用的iOS漏洞
美国网络安全和基础设施安全局(CISA)要求联邦机构修补三个被积极利用的iOS严重漏洞。据谷歌报告,一款名为Coruna的高级黑客工具包整合了23个iOS漏洞,形成五条完整攻击链,攻击目标为iOS 13至17.2.1版本设备。该工具包先后被三个不同黑客组织使用,包括监控供应商客户、俄罗斯疑似间谍组织及来自中国的黑客。谷歌指出,此次事件揭示了"二手零日漏洞"的活跃交易市场。
谷歌将15KB数据压缩至700字节,推动HTTPS抗量子加密升级
谷歌联合Cloudflare推出抗量子计算的HTTPS证书新方案。传统证书链约4KB,量子抗性加密数据却需约40倍空间。为解决这一瓶颈,谷歌引入默克尔树证书(MTC)技术,通过紧凑的树形证明替代冗长签名链,将证书大小维持在原有水平。同时引入ML-DSA等后量子算法,防止量子攻击伪造证书。目前该方案已在Chrome中测试,Cloudflare正对约1000个TLS证书进行验证。
新型AirSnitch攻击可绕过家庭、办公室及企业Wi-Fi加密防护
研究人员发现一种名为AirSnitch的新型攻击方式,能够绕过Wi-Fi加密机制,使客户端隔离保护形同虚设。该攻击针对网络协议栈最底层(第一层和第二层)的核心特性,利用跨层身份不同步漏洞,可在Netgear、D-Link、Ubiquiti、Cisco等主流品牌路由器上实现。攻击者可借此进行Cookie窃取、DNS投毒等高级网络攻击。研究成果已于2026年网络与分布式系统安全研讨会上发布。
密码管理器"零知识"承诺并非总能兑现
来自苏黎世联邦理工学院和卢加诺大学的研究人员对Bitwarden、Dashlane和LastPass进行逆向分析后发现,这三款密码管理器宣传的"零知识"加密承诺在特定条件下并不成立。当启用账户恢复或密码库共享功能时,拥有服务器控制权的内部人员或攻击者实际上可以窃取用户数据,甚至读取整个密码库内容。研究人员指出,多数漏洞技术层面并不复杂,但此前十余年的学术研究和多次安全审计均未发现这些问题。
Windows Shell欺骗漏洞CVE-2026-32202已遭利用,敏感数据面临风险
微软与美国网络安全和基础设施安全局(CISA)就Windows Shell欺骗漏洞CVE-2026-32202发出警告,该漏洞已遭攻击者活跃利用,可导致敏感数据泄露。CISA要求所有联邦机构在5月12日前完成修补。安全专家指出,补丁缺口问题依然严峻——从漏洞发现到补丁发布,再到企业完成更新,存在多重时间差。随着AI技术普及,技术门槛降低使攻击更易发生,企业需加快响应节奏。
Linux内核高危漏洞"CopyFail"遭攻击者积极利用
CISA警告称,Linux内核新披露的高危漏洞"CopyFail"(CVE-2026-31431)已遭在野利用。该漏洞允许低权限用户通过篡改本应只读的数据,将有限权限提升至root级别,影响2017年以来所有主流Linux内核版本。研究机构Theori发布了可攻击Ubuntu、Amazon Linux、RHEL及SUSE的通用利用脚本,微软也检测到概念验证代码发布后的初步测试活动。CISA要求联邦机构在5月15日前完成修补。
英国NHS因AI安全忧虑,计划关闭数百个GitHub开源仓库
英国国家医疗服务体系(NHS)要求所有技术负责人在5月11日前将公开的GitHub仓库设为私有,原因是担忧AI模型(尤其是Anthropic的Mythos)可能通过大规模代码分析发现安全漏洞。NHS表示这是临时性措施,旨在评估AI快速发展带来的风险。然而,前NHSX开源技术负责人指出,此举防御意义有限,因为相关代码早已被采集用于训练,更大的安全威胁来自网络钓鱼、弱密码管理及供应链漏洞。
新加坡CSA呼吁将AI网络威胁纳入董事会议程
新加坡网络安全局(CSA)局长David Koh致函各关键信息基础设施(CII)机构董事会及CEO,警告前沿AI技术已从根本上改变网络安全基线。Anthropic的Claude Mythos模型已能自主发现数千个零日漏洞,并成功模拟完成32步企业网络入侵。CSA要求各CII机构正式启动网络风险评估,检视现有防御体系是否足以应对AI加速驱动的威胁,并将结果提交至董事会层面审议。
新加坡学者开发智能体规则转换工具,让多平台SIEM协同工作
新加坡国立大学与复旦大学研究人员联合开发了ARuleCon系统,利用智能体技术解决不同安全信息与事件管理系统(SIEM)之间规则不兼容的难题。该系统通过检索增强生成(RAG)管道调用官方厂商文档,并借助Python一致性校验机制,实现Splunk、Microsoft Sentinel、IBM QRadar、Google Chronicle及RSA NetWitness等主流SIEM平台之间的规则互转,转换精度优于通用大语言模型,有效降低安全运营中心的工作负担。
Belden以18.5亿美元收购Ruckus Networks
Belden宣布以18.46亿美元现金收购Vistance Networks旗下的Ruckus Networks。Ruckus成立于2004年,此前曾多次易主,先后经历Brocade、Arris、CommScope等公司的收购。Ruckus拥有超过4.8万家全球客户,主要产品涵盖企业Wi-Fi、企业交换机及云管理平台Ruckus One。Belden表示,此次收购将填补其在企业无线和交换领域的空白,双方业务高度互补,有望打造从工业边缘到企业园区的完整网络解决方案。
京公网安备 11010802021500号
