随着掌管数字生活入口的万亿美元俱乐部企业——苹果公司跳入人工智能（AI）赛道，AI技术民主化的大幕正式拉开，同时也将AI安全问题推向舆论的风口浪尖。根据瑞银本周一的智能手机调查报告，在中国以外的智能手机用户中，只有27%的人对提供生成式AI功能的设备感兴趣，价格和隐私才是用户最关心的问题。显然， AI面临的头号威胁：投毒攻击
近日，美国国家标准与技术研究院（NIST）发出警告称，随着人工智能技术的快速普及，越来越多的黑客将发起“投毒攻击”，AI应用的安全性将面临严峻考验。投毒攻击是针对人工智能（AI）系统的一种恶意行为，黑客通过操纵输入数据或直接修改模型来影响AI系统的输出。...

根据 WthSecure 的最新报告，边缘服务和基础设施设备中的漏洞正越来越多地被网络威胁者利用。
边缘服务是安装在网络边缘的软件，可以从互联网和内部网络访问，对黑客很有吸引力，因为它们是进入网络的完美初始接入点。
最近，针对易受攻击的边缘软件的攻击呈爆炸性增长， 传统上，这些被利用的边缘服务安装在基础设施设备（也称为设备）上。这些设备由供应商提供，没有额外的安全工具，软件和硬件完全由供应商定义。最常见的基础设施设备包括防火墙、VPN 网关和电子邮件网关。
边缘安全漏洞持续增加
在报告的介绍中 WithSecure 提醒读者，最近的许多报告显示，...

Google Chrome 浏览器扩展 EmailGPT 曝出高危零日漏洞。
EmailGPT 是 Google Chrome 的流行扩展程序，通过使用 OpenAI 公开提供的人工智能模型，帮助其用户在 Gmail 服务上撰写电子邮件（用户向该服务提供原始数据和上下文，接收人工智能反馈的内容， CVE-2024-5184 安全漏洞的存在，使得 EmailGPT 在使用 API 服务时，可能会允许威胁攻击者注入第三方提示并操纵服务逻辑，导致泄露系统提示或执行不需要的命令。例如，威胁攻击者可以创建一个嵌入不需要的功能的提示，...

全球知名的半导体公司 Arm 和 Nvidia 正在敦促客户修补其产品中一系列新的漏洞。总部位于英国的Arm周五警告称，其 Mali GPU 内核驱动程序（一种帮助操作系统与 Mali 图形处理器进行通信的软件）中存在一个被广泛利用的零日漏洞。 该漏洞编号为CVE-2024-4610，可能导致“不当的 GPU 内存处理操作”，从而引发崩溃、数据损坏或未经授权访问敏感信息等安全问题。 Arm 表示，它已经注意到有关该漏洞被广泛利用的报告，并已修复该漏洞。如果用户受到此问题的影响，该公司建议他们升级 Bifrost 和 Valhall GPU 内核驱动程序。...

全球关键设施中使用的生物识别终端存在 24 个漏洞，黑客可借此获得未经授权的访问权限、操纵设备、部署恶意软件并窃取生物识别数据。 生物识别安全技术比以往任何时候都更受欢迎，不仅在公共部门（执法部门、国家身份证系统等）得到广泛采用，而且在旅游和个人计算机等商业行业也得到广泛采用。在日本，地铁乘客可以“刷脸支付”，新加坡的移民系统依靠面部扫描和指纹来允许旅行者入境。甚至汉堡店也在尝试使用面部扫描支付账单。 黑客很快找到绕过这些所谓安全系统的方法，有时甚至可以进入系统内部。...

Morphisec 的研究人员观察到一个被称为 Sticky Werewolf 的黑客，其目标是俄罗斯和白俄罗斯的实体。 Sticky Werewolf 是一个黑客，于 2023 年 4 月首次被发现，最初针对俄罗斯和白俄罗斯的公共组织。该组织已将业务扩展到各个领域，包括一家制药公司和一家专门从事微生物学和疫苗开发的俄罗斯研究机构。...

今天是微软 2024 年 6 月补丁日，微软修复了 51 个安全漏洞，其中包括 18 个远程代码执行漏洞和一个公开披露的0day漏洞。 各个漏洞类别的数量如下：

25 个特权提升漏洞
18 个远程代码执行漏洞
3 个信息泄露漏洞
5 个拒绝服务漏洞

总共 51 个漏洞并不包括 6 月 3 日修复的 7 个 Microsoft Edge 漏洞。 本月补丁日只修复了一个严重漏洞，即 Microsoft 消息队列 (MSMQ) 中的远程代码执行漏洞。...

苹果公司周一将 Vision Pro 虚拟现实头盔的操作系统 visionOS 更新到 1.2 版本，该版本修复了多个漏洞，其中包括可能是该产品特有的第一个安全漏洞，编号为 CVE-2024-27812。 visionOS 1.2 此次更新修复了近二十多个漏洞。其中绝大多数漏洞都存在于 visionOS 与其他苹果产品（如 iOS、macOS 和 tvOS）共享的组件中。这些漏洞可能导致任意代码执行、信息泄露、权限升级和拒绝服务（DoS）。...

破损的访问控制 明文数据曝光 WPS PIN 码暴露...

黑莓公司正在调查一起涉及在暗网上出售其网络安全部门 Cylance 数据的事件，但该公司表示，这些数据似乎比较陈旧，并非来自公司系统。暗网情报员上周报道称，一名威胁分子希望以 75 万美元的价格购买据称属于黑莓公司网络安全部门 Cylance 的客户、合作伙伴和员工的数据。 终端安全公司 Cylance 于2019年被黑莓以14亿美元收购后，成为了黑莓公司旗下一个网安部门。 网络犯罪分子声称掌握了 “34万亿封客户和员工电子邮件”，同时获得了客户电子邮件、个人身份信息、销售前景以及用户和合作伙伴名单。...