HackerNews 编译，转载请注明出处： Chrome 稳定版通道已推送 144.0.7559.109 和 144.0.7559.110 版本，修复了 Background Fetch API 中存在的一项高危安全漏洞。 该更新将在未来数天至数周内向 Windows、Mac 和 Linux 系统逐步推送，用户务必尽快将浏览器更新至最新版本。...

Gemini MCP 工具存在一个高危零日漏洞，使用户在无需任何身份验证的情况下暴露于远程代码执行（RCE）攻击。 该漏洞追踪编号为 ZDI-26-021 / ZDI-CAN-27783，通用漏洞标识符为CVE-2026-0755，其 CVSS v3.1 最高评分为 9.8 分，反映了其易被利用且危害程度高的特性。 根据趋势科技零日计划（ZDI）的一份新公告，该漏洞影响了开源工具 gemini-mcp-tool，该工具用于实现 Gemini 模型与模型上下文协议（MCP）服务的集成。...

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了在 n8n 工作流自动化平台两个新的安全漏洞，其中一个为可导致远程代码执行的高危漏洞。 这两个由 JFrog 安全研究团队发现的漏洞详情如下：...

HackerNews 编译，转载请注明出处： Fortinet 发布一款正被利用的严重 FortiOS SSO 认证绕过漏洞 (CVE-2026-24858) 的修复程序，该漏洞影响 FortiOS、FortiManager 和 FortiAnalyzer。 Fortinet 已开始已开始逐步推送针对某款正遭攻击的高危 FortiOS 漏洞的修复补丁。该漏洞编号为 CVE-2026-24858（CVSS 评分为 9.4），可允许攻击者通过单点登录（SSO）绕过身份认证。它影响 FortiOS、FortiManager 和 FortiAnalyzer，...

HackerNews 编译，转载请注明出处： 网络安全研究人员已对官方扩展应用市场中一款新的恶意Microsoft Visual Studio Code（VS Code）扩展发出警示，该扩展针对Moltbot（原名Clawdbot），自称是免费的人工智能编码助手，却会在受感染主机上暗中植入恶意载荷。 该扩展名为“ClawdBot Agent - AI Coding Assistant”（标识符为“clawdbot.clawdbot-agent”），现已被微软下架。它由用户“clawdbot”于2026年1月27日发布。...

音频流媒体平台SoundCloud系统遭黑客入侵，超过2980万用户账户的个人信息与联系方式被盗。这家成立于2007年、以艺术家为核心的平台，目前为全球4000多万艺术家提供超过4亿首曲目访问服务。 公司于12月15日确认数据泄露事件，此前用户普遍反映无法访问SoundCloud，且通过VPN连接时出现403"禁止访问"错误。SoundCloud当时向科技媒体BleepingComputer表示，在检测到涉及辅助服务控制面板的未授权活动后已启动事件响应程序。...

俄罗斯家庭、企业及车辆警报安防系统提供商Delta公司近日遭受网络攻击，导致运营瘫痪、服务大面积中断，引发客户投诉潮。该公司周一发布声明称，遭遇"大规模、协同且组织严密"的网络攻击，攻击源来自某未指明的"敌对国家"，部分服务出现临时中断，但尚无证据表明客户个人信息泄露。 Delta营销总监瓦列里·乌什科夫在视频声明中表示："我们的系统架构未能抵御来自境外的高度协同攻击。"他同时指出，由于公司持续面临后续攻击威胁，数据备份恢复工作进展缓慢。技术团队正全力修复系统，预计将尽快全面恢复运营。...

网络安全公司LayerX披露，有威胁行为者创建了16款专门窃取用户ChatGPT会话数据的浏览器扩展程序，并成功上架了Chrome和Edge官方商店。该攻击者利用用户对AI增效工具日益增长的需求，向Chrome应用商店投放15款扩展，向微软Edge扩展商店投放1款。 据LayerX报告，这些伪装成ChatGPT增强工具和效率工具的扩展程序累计下载量已超900次，截至1月26日仍在官方商店流通。其攻击机制并非利用ChatGPT漏洞，而是通过向chatgpt.com注入内容脚本并在主JavaScript环境中执行，从而截获用户会话认证令牌并发送至远程服务器。...

网络安全公司Koi警告称，JavaScript生态系统主流包管理器（包括NPM、PNPM、VLT和Bun）存在的六项安全漏洞可能被利用来绕过供应链攻击防护机制。这些被统称为"PackageGate"的安全缺陷，可能导致攻击者隐藏在依赖包中的恶意代码被执行。 继Shai-Hulud和PhantomRaven等重大NPM供应链攻击事件后，各组织和开发者普遍采用两大防护机制：一是设置标志位阻止安装包时自动执行预装/安装/后装脚本；二是记录依赖树中每个包的版本及完整性哈希值，后续安装时进行哈希校验。...

网络安全非营利组织Shadowserver近日报告称，超过6000台SmarterMail服务器暴露在互联网上，极易遭受编号为CVE-2026-23760的关键身份验证绕过漏洞攻击。网络安全公司watchTowr于1月8日披露该漏洞，SmarterTools公司于1月15日发布补丁， 安全公告指出："SmarterTools SmarterMail 9511版本之前的密码重置API存在身份验证绕过漏洞。强制重置密码端点允许匿名请求，且在重置系统管理员账户时未能验证现有密码或重置令牌。未经验证的攻击者只需提供目标管理员用户名和新密码即可重置账户，...