HackerNews 编译，转载请注明出处： 思科Talos研究人员周二披露，戴尔数百万台笔记本电脑采用的安全芯片存在漏洞，可能使攻击者窃取敏感数据，并在设备重装操作系统后仍维持访问权限。该研究此前未公开，经戴尔6月安全公告确认，影响超100款笔记本型号，涉及存储密码、生物识别数据及安全代码的专用芯片， 研究人员表示尚无漏洞野外利用迹象。戴尔已于3月至5月分阶段发布补丁，并于6月13日发布完整安全公告。漏洞专属于戴尔ControlVault安全固件与软件采用的博通BCM5820X芯片。思科Talos高级漏洞研究员Philippe Laulheret指出，...

HackerNews 编译，转载请注明出处： 最新报告揭露，今夏为期12天的对以冲突期间，亲伊朗黑客组织的网络威胁活动骤然激增。SecurityScorecard称其分析了25万条Telegram消息，揭示出涵盖情报收集、宣传攻势及针对关键基础设施与公共实体的直接攻击等多重活动。 主要活动包括：

宣传渗透：至少178个Telegram群组散布亲伊朗宣传，将“意识形态驱动讯息与协同网络攻击结合”，典型频道含“伊斯兰黑客军团”“抵抗阵线”等。
混合攻击：巴勒斯坦关联组织Cyber Islamic Resistance、Cyber Fattah，...

HackerNews 编译，转载请注明出处： 谷歌发布安全更新修复安卓系统多项安全漏洞，包含两个已被实际利用的高通漏洞。漏洞涉及CVE-2025-21479（CVSS评分8.6）与CVE-2025-27038（CVSS评分7.5），二者与CVE-2025-21480（CVSS评分8.6）均由芯片制造商于2025年6月披露。 CVE-2025-21479属于图形组件授权错误漏洞，可能导致因GPU微代码中未经授权的命令执行而引发内存损坏。CVE-2025-27038则是图形组件的释放后重用漏洞，在Chrome浏览器使用Adreno GPU驱动渲染图形时可能造成内存损坏。...

HackerNews 编译，转载请注明出处： Wiz研究团队在NVIDIA Triton推理服务器中发现一系列关键漏洞，该平台是用于大规模运行人工智能模型的开源解决方案。当这些漏洞被串联利用时，远程未授权攻击者可能完全控制服务器，实现远程代码执行（RCE）。 此攻击链始于服务器的Python后端，最初的小规模信息泄露会逐步升级为完整的系统入侵。这对使用Triton进行AI/ML的企业构成重大风险，成功攻击可能导致宝贵AI模型被盗、敏感数据泄露、AI模型响应被篡改，并为攻击者提供深入网络的立足点。...

HackerNews 编译，转载请注明出处： 华盛顿州贝灵汉市的放射诊疗机构西北放射医学中心（Northwest Radiologists）向约35万名当地居民发出通知，称其个人信息在数据泄露事件中遭泄露。该机构表示，事件发生于2025年1月25日，当日部分系统遭遇“网络中断”。机构早在3月首次披露事件时已指出， 此次最新通报确认，攻击者在1月20日至25日期间侵入其网络，并获取了受影响系统中的数据。泄露信息涵盖患者姓名、住址、电话号码、电子邮箱、出生日期、社会安全号码、驾照号码、政府身份证件号码、诊断及治疗细节、健康保险信息、财务与银行数据等。...

HackerNews 编译，转载请注明出处： 网络安全公司CTM360发现代号“ClickTok”的新型全球恶意软件活动，通过仿冒TikTok店铺传播SparkKitty间谍软件窃取加密货币资金。该间谍木马专门针对TikTok Shop全球用户设计，采用结合钓鱼与恶意软件的混合诈骗模式，欺骗平台买家及联盟计划参与者。 诈骗始于仿冒TikTok商业生态（含TikTok Shop、TikTok Wholesale、TikTok Mall）。攻击者创建界面高度仿真的虚假网站诱导用户登录购物。结算环节强制要求加密货币支付，用户完成付款后，...

HackerNews 编译，转载请注明出处： 法国时尚巨头香奈儿成为Salesforce数据窃取攻击的最新受害者。据《女装日报》率先报道，香奈儿表示威胁行为者通过第三方服务提供商入侵其数据库，事件于7月25日首次被发现。此次泄露仅影响美国客户，涉及个人联系信息。 香奈儿发言人声明：“调查显示，未经授权的外部方仅获取了美国客户服务中心部分联系人的有限信息——具体包括姓名、电子邮箱、邮寄地址和电话号码。数据库未包含其他信息，受影响客户已获告知。”尽管香奈儿未回应媒体问询且未透露第三方服务商名称，...

HackerNews 编译，转载请注明出处： 乌克兰国防部情报总局（HUR）宣称成功入侵俄罗斯占领的克里米亚地区政府服务器，获取了俄方强制迁移乌克兰儿童的确凿证据。该机构上周表示，已掌握数千份被转移儿童的身份文件，包括：无监护人看护儿童的个人信息、任命俄罗斯公民作为其新法定监护人的法律文书，以及儿童被转移后的安置地址。 这些数据已移交乌克兰执法部门审查，并将纳入正在进行的刑事诉讼程序。HUR发言人安德烈·尤索夫声明：“相关信息将协助我们寻回被绑架儿童，并追究责任方。”据乌克兰官方“战争儿童”数据库统计，自战争爆发以来，已有近2万名乌克兰儿童被强行带至俄罗斯或其占领区。官员警告实际数字可能更高。...

HackerNews 编译，转载请注明出处： 人工智能相关网站的流量激增，标志着用户与AI互动方式的重大转变。Menlo Security最新研究显示，2024年2月至2025年1月期间，AI工具平台访问量从70亿次增至105.3亿次，增幅达50%。这一转变主要源于用户持续依赖浏览器访问生成式AI（GenAI）工具。 该趋势的持续源于三大核心因素：浏览器具备跨设备普适性，可无缝集成其他服务平台，并支持开发者快速大规模部署AI工具。Acuvity联合创始人兼CEO Satyam Sinha指出：“过去一年中，关于AI风险和威胁的认知显著提升。客户反馈表明，他们正为如何优先处理这些问题感到困扰。”...

HackerNews 编译，转载请注明出处： 网络安全研究人员发现名为PlayPraetor的新型安卓远程访问木马（RAT），已感染超11,000台设备，主要分布在葡萄牙、西班牙、法国、摩洛哥、秘鲁及中国香港地区。Cleafy研究员团队（Simone Mattia等）在分析中指出：“僵尸网络近期每周新增感染超2,000例， PlayPraetor通过中文控制面板（C2）管理，其核心机制未脱离常见安卓木马模式：滥用无障碍服务获取远程控制权，并能在近200款银行应用及加密货币钱包上叠加伪造登录界面，以劫持用户账户。该木马最早由巴林公司CTM360于2025年3月曝光，...