HackerNews 编译，转载请注明出处： 澳大利亚软件公司 Atlassian 修复了 Bamboo、Bitbucket、Confluence、Crowd 和 Jira 产品中的 12 个关键和高危漏洞。 Atlassian 发布了安全补丁，以解决这些产品中的漏洞。其中最严重的漏洞包括：

CVE-2024-50379（CVSS 评分为 9.8）：Confluence Data Center 和 Server 中的 Apache Tomcat 依赖项存在远程代码执行（RCE）漏洞。...

HackerNews 编译，转载请注明出处： 一个名为 Windows-WiFi-Password-Stealer 的 GitHub 仓库引发了网络安全专业人士的关注。 该仓库由用户托管，提供了一个基于 Python 的脚本，能够从 Windows 系统中提取保存的 Wi-Fi 凭证，并将其保存到文本文件中。...

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）警告称，Craft CMS 的一个远程代码执行漏洞正在被利用进行攻击。 该漏洞被追踪为 CVE-2025-23209，是一个高严重性（CVSS v3 评分：8.0）的代码注入（RCE）漏洞，影响 Craft CMS 4 和 5 版本。...

HackerNews 编译，转载请注明出处： 一款名为 SpyLend 的安卓恶意软件应用已在 Google Play 上下载超过 10 万次，该应用伪装成金融工具，但实际上是一个针对印度用户的掠夺性贷款应用。 该应用属于一系列名为 “SpyLoan” 的恶意安卓应用程序，这些应用伪装成合法的金融工具或贷款服务，但实际上会从设备中窃取数据，用于掠夺性贷款。...

HackerNews 编译，转载请注明出处： 谷歌云宣布在其云密钥管理服务（Cloud KMS）中引入量子安全数字签名功能，目前该功能已在预览版中提供。 这家科技巨头表示，这一举措符合美国国家标准与技术研究院（NIST）的后量子密码学（PQC）标准，旨在应对量子计算可能破坏经典加密方案的未来风险。...

HackerNews 编译，转载请注明出处： 网络犯罪分子现在可以利用 Darcula PhaaS 平台的最新版本 v3，在几分钟内克隆任何品牌的网站，进一步降低了大规模实施网络钓鱼攻击所需的技术门槛。 这一最新版本的网络钓鱼工具 “代表着犯罪能力的重大转变，降低了坏人针对任何品牌发起复杂、可定制网络钓鱼活动的门槛，” 网络安全公司 Netcraft 在一份新分析报告中指出。...

HackerNews 编译，转载请注明出处： 苹果公司周五宣布，由于英国政府要求获得加密用户数据的后门访问权限，将立即在英国移除 iCloud 的高级数据保护（ADP）功能。 据彭博社首次报道，ADP 是 iCloud 的一个可选设置，确保用户的受信任设备唯一持有用于解锁存储在云端数据的加密密钥。这包括 iCloud 备份、照片、笔记、提醒、Safari 书签、语音备忘录以及与苹果自家应用相关的数据。...

HackerNews 编译，转载请注明出处： 加密货币交易所 Bybit 周五披露，一起“复杂”的攻击导致其一个以太坊冷（离线）钱包中的超过 14.6 亿美元的加密货币被盗，这成为有史以来最大的单次加密货币盗窃案。 Bybit 在 X 上的一篇帖子中表示：“此次事件发生在我们的 ETH 多签冷钱包向热钱包执行转账时。不幸的是，这笔交易通过一种复杂的攻击被操纵，该攻击掩盖了签名界面，显示正确的地址的同时修改了底层的智能合约逻辑。”...

HackerNews 编译，转载请注明出处： 新一波的 “自骗” 攻击浪潮正在利用 AI 生成的深度伪造视频和恶意脚本，目标锁定加密货币爱好者和金融交易者，标志着社会工程战术的危险演变。 据网络安全研究公司 Gen Digital 发现，这场活动利用经过验证的 YouTube 频道、合成人物和 AI 制作的有效载荷，操纵受害者主动破坏自己的系统。...

HackerNews 编译，转载请注明出处： 移动设备安全公司 iVerify 的新发现表明，强大的零点击间谍软件的使用范围比之前理解的更为广泛，不仅影响民间社会成员，还波及企业高管。 iVerify 在周三宣布，仅在 12 月份，就在其测试的 18,000 台唯一设备中检测到了 11 台感染了 “飞马” 间谍软件。...