HackerNews 编译，转载请注明出处： Pixnapping漏洞 研究发现，谷歌和三星的安卓设备容易受到一种侧信道攻击，该攻击可被利用来在用户不知情的情况下，逐像素地秘密窃取双因素认证（2FA）码、谷歌地图时间线和其他敏感数据。 这项攻击被加州大学伯克利分校、华盛顿大学、加州大学圣地亚哥分校和卡内基梅隆大学的一组学者命名为 “Pixnapping”。 从本质上讲，“像素窃取” 是一种针对安卓设备的像素窃取框架，它通过利用安卓应用程序接口（API）和硬件侧信道，绕过浏览器的缓解措施，甚至可以从谷歌身份验证器等非浏览器应用中抽取数据，使得恶意应用能够利用该技术在 30 秒内获取 2FA 码。 研究人员在一篇论文中表示：“我们的关键发现是，安卓 API 使攻击者能够在浏览器之外创建一种类似于（保罗）斯通式攻击的方式。具体来说，恶意应用可以通过安卓意图（intents）将受害者的像素强制送入渲染管道，并使用一堆半透明的安卓活动对这些受害者像素进行计算。” 这项研究特别针对运行安卓版本 13 到 16 的谷歌和三星的五款设备。虽然目前尚不清楚其他原始设备制造商（OEM）的安卓设备是否容易受到 “像素窃取” 攻击，但实施该攻击所需的基本方法在所有运行该移动操作系统的设备上都存在。 这种新型攻击的重要之处在于，任何安卓应用都可以用来执行它，即使该应用在其清单文件中没有附加任何特殊权限。然而，这种攻击的前提是受害者被其他方式说服安装并启动了该应用。 使 “像素窃取” 成为可能的侧信道是 GPU.zip，这是由一些相同的研究人员在 2023 年 9 月披露的。该攻击本质上是利用现代集成 GPU（iGPU）中的压缩功能，通过 SVG 滤镜在浏览器中执行跨源像素窃取攻击。 Pixnapping框架概述 最新的这类攻击将此与安卓的窗口模糊 API 相结合，以泄露渲染数据并实现从受害者应用中进行窃取。为了实现这一点，一个恶意安卓应用被用来将受害者应用的像素发送到渲染管道，并使用意图来覆盖半透明活动 —— 意图是一种安卓软件机制，允许在应用和活动之间进行导航。 换句话说，其原理是调用包含感兴趣信息（如 2FA 码）的目标应用，并使数据被提交进行渲染，然后安装在设备上的恶意应用隔离目标像素（即包含 2FA 码的像素）的坐标，并引发一堆半透明活动来掩盖、放大并使用侧信道传输该像素。然后，对于推送到渲染管道的每个像素都重复这个步骤。 研究人员表示，安卓容易受到 “像素窃取” 攻击是由于三个因素的结合，这些因素允许应用程序： 将另一个应用程序的活动发送到安卓渲染管道（例如，使用意图） 对另一个应用程序的活动所显示的像素进行图形操作（例如，模糊） 测量图形操作对像素颜色相关的副作用 谷歌正在以 CVE 标识符 CVE-2025-48561（CVSS 评分：5.5）跟踪这个问题。这家科技巨头在其 2025 年 9 月的安卓安全公告中发布了该漏洞的补丁，谷歌指出：“一个请求大量模糊处理的应用：（1）通过测量在窗口间执行模糊处理所需的时间来实现像素窃取，（2）可能无论如何都不太合法。” 然而，后来发现存在一种解决方法，可以重新启用 “像素窃取” 攻击。据说该公司正在研究修复方案。 此外，研究发现，由于这种行为，攻击者有可能确定设备上是否安装了任意应用程序，从而绕过自安卓 11 以来实施的防止查询用户设备上所有已安装应用程序列表的限制。应用程序列表绕过问题仍然未被修复，谷歌将其标记为 “不会修复”。 研究人员总结道：“就像最初的浏览器一样，移动应用分层的有意协作和多参与者设计使得明显的限制不受欢迎。应用分层不会消失，而且如果采用禁止第三方 Cookie 的限制方式，分层应用将变得毫无用处。一个现实的应对措施是使新攻击像旧攻击一样不受欢迎：允许敏感应用选择退出，并限制攻击者的测量能力，以便任何概念验证都只是理论上的。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客正利用 Gladinet 公司旗下 CentreStack 与 Triofox 产品中的零日漏洞（漏洞编号 CVE-2025-11371）发起攻击。该漏洞可使本地攻击者在无需身份验证的情况下，访问系统文件。 目前已有至少三家企业成为攻击目标。尽管官方补丁尚未发布，但用户可通过临时缓解措施降低风险。 CentreStack 与 Triofox 是 Gladinet 推出的企业级文件共享与远程访问解决方案，支持企业将自有存储资源用作 “私有云”。据厂商介绍，CentreStack “已被来自 49 个国家的数千家企业采用”。 此次发现的零日漏洞 CVE-2025-11371 属于 “本地文件包含漏洞”（Local File Inclusion，LFI），影响 CentreStack 与 Triofox 的默认安装配置，且所有版本（包括最新版本 16.7.10368.56560）均存在该漏洞。 托管式网络安全平台 Huntress 的研究人员于 9 月 27 日发现了这一安全问题 —— 当时有黑客成功利用该漏洞获取了目标设备的 “机器密钥”（machine key），并实现了远程代码执行。 进一步分析显示，黑客通过该 LFI 漏洞读取了系统中的 Web.config 配置文件，并从中提取出机器密钥。随后，黑客利用另一处老旧的 “反序列化漏洞”（漏洞编号 CVE-2025-30406），通过 ViewState（ASP.NET框架中的状态管理机制）实现了 “远程代码执行”（Remote Code Execution，RCE）—— 即远程操控目标设备。 值得注意的是，CentreStack 与 Triofox 中的 CVE-2025-30406 反序列化漏洞早在今年 3 月就已被黑客在实际攻击中利用。该漏洞的根源是软件中存在 “硬编码机器密钥”（即密钥被固定写入代码，无法修改），黑客一旦获取该密钥，即可在受影响系统上执行远程代码。 Huntress 在报告中表示：“经后续分析发现，黑客利用了这一无需身份验证的本地文件包含漏洞（CVE-2025-11371），从应用程序的 Web.config 文件中获取机器密钥，再通过上述 ViewState 反序列化漏洞实现远程代码执行。” Huntress 已就该漏洞联系 Gladinet 公司。厂商确认已知晓此漏洞，并表示正在通知用户采取临时规避措施，直至正式补丁发布。 研究人员已向受攻击的企业客户提供了缓解方案，并公开了以下针对 CVE-2025-11371 的防护建议： 找到路径为 “C:\Program Files (x86)\Gladinet Cloud Enterprise\UploadDownloadProxy\Web.config” 的配置文件，禁用其中 “UploadDownloadProxy 组件” 的 “temp handler”（临时处理器）功能； 在该 Web.config 文件中定位并删除定义 “temp handler” 的代码行 —— 该行代码指向 “t.dn”。 上述代码行是触发漏洞的关键：黑客正是通过该功能利用本地文件包含漏洞发起攻击，因此删除该行代码可有效阻止 CVE-2025-11371 漏洞被利用。 研究人员同时提醒，这些缓解措施 “可能会对平台的部分功能产生影响”，但能确保漏洞不会被黑客利用。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Zimbra 零日漏洞详情 Zimbra 协作套件（Zimbra Collaboration）中一个现已修复的安全漏洞，于今年早些时候被作为零日漏洞（指未被厂商发现、未修复的漏洞）利用，攻击者借此针对巴西军方发起网络攻击。 该漏洞编号为CVE-2025-27915，CVSS 漏洞评分（衡量漏洞严重程度的标准）为 5.4，本质是 Zimbra 经典网页客户端（Classic Web Client）中的存储型跨站脚本漏洞（XSS） 。其成因是对 ICS 日历文件中的 HTML 内容过滤不充分，最终可导致攻击者执行任意代码。 美国国家标准与技术研究院（NIST）国家漏洞数据库（NVD）对该漏洞的描述指出：“当用户查看包含恶意 ICS 条目（指 ICS 文件中的特定内容块）的电子邮件时，嵌入在<details>标签内、通过ontoggle事件触发的 JavaScript 代码会被执行。” 这种漏洞利用方式使得攻击者能在受害者的会话（即用户当前登录状态）中运行任意 JavaScript 代码，进而可能实施未授权操作 —— 例如设置邮件过滤器，将受害者的邮件重定向至攻击者控制的邮箱地址。最终，攻击者可对受害者账号执行多种未授权操作，包括邮件劫持与数据窃取。 漏洞修复与真实攻击案例 Zimbra 已于 2025 年 1 月 27 日发布的版本（9.0.0 Patch 44、10.0.13、10.1.5）中修复了该漏洞。不过，当时 Zimbra 发布的安全公告中，并未提及该漏洞已被用于真实世界的攻击活动。 但据网络安全公司 StrikeReady Labs 于 2025 年 9 月 30 日发布的报告显示，已监测到的真实攻击活动中，身份不明的威胁 actor（指发起攻击的个人或组织）通过伪造利比亚海军礼宾办公室的身份，向巴西军方发送包含恶意 ICS 文件的邮件，利用上述漏洞发起攻击。 该恶意 ICS 文件中包含一段 JavaScript 代码，其功能相当于一个 “全能数据窃取器”：可将受害者的账号凭证（如用户名密码）、电子邮件、联系人信息及共享文件夹数据窃取至外部服务器（域名为 “ffrk [.] net”）；同时会搜索受害者邮箱中特定文件夹内的邮件，并添加名为 “Correo” 的恶意 Zimbra 邮件过滤规则，将这些邮件自动转发至邮箱 “spam_to_junk@proton.me”。 为躲避检测，这段恶意脚本还被设计了两种反侦察机制：一是隐藏邮箱界面中的部分元素，避免被用户察觉；二是设置 “触发条件”—— 仅当距离上次执行已超过 3 天时才会启动（防止频繁运行导致暴露）。 相关攻击模式与 Zimbra 回应 目前尚不清楚此次针对巴西军方的攻击背后的具体组织，但今年早些时候，网络安全公司 ESET 曾披露，代号为APT28的俄罗斯高级持续性威胁组织（APT，指具备长期潜伏、精准攻击能力的黑客组织），曾利用包括 Roundcube、Horde、MDaemon 及 Zimbra 在内的多款网页邮件系统中的 XSS 漏洞，获取未授权访问权限。 此外，其他黑客组织（如Winter Vivern、UNC1151，后者又名 “Ghostwriter”）也采用过类似攻击手法（利用 XSS 漏洞）实施凭证窃取。 最新更新 在《黑客新闻》（The Hacker News）获取的一份声明中，Zimbra 表示其调查未发现该漏洞被用于针对巴西实体发起攻击的证据，并强调：“所有运行 2025 年 1 月及之后发布的版本（9.0.0 Patch 44、10.0.13、10.1.5）的 Zimbra 协作套件（ZCS）实例均不受该漏洞影响，不存在持续风险。” 目前《黑客新闻》已联系 StrikeReady Labs 寻求进一步置评，若收到回复将对报道进行补充更新。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）披露，威胁行为者利用 GeoServer 中一个未修补的漏洞，攻破了一家美国联邦民用机构的网络。 攻击者利用的漏洞编号为 CVE-2024-36401（CVSS 评分 9.8），这是一个严重的远程代码执行（RCE）漏洞。该漏洞于 2024 年 6 月 30 日被公开，多名研究人员随后在网上发布了概念验证（PoC）利用代码。[1, 2] GeoServer 是一款开源服务器，允许用户共享和编辑地理空间数据。2024 年 7 月中旬，CISA 已将该漏洞列入其“已知被利用漏洞”（KEV）目录。 在一起事件中，该联邦文职机构的终端检测与响应（EDR）工具在 7 月 11 日检测到潜在恶意活动，CISA 随后展开应急响应调查。结果发现，攻击者早在三周前就通过该漏洞入侵了机构的 GeoServer。 根据 CISA 公布的通告：“CISA 在该联邦机构展开事件响应工作，是因为其 EDR 工具发现了潜在的恶意活动。调查发现，网络威胁行为者通过利用 CVE-2024-36401 攻陷了一个 GeoServer。在随后的三周时间里，黑客再次利用该漏洞攻入第二个 GeoServer，并横向移动至另外两台服务器。” 攻击者横向扩散至一台 Web 服务器和一台 SQL 服务器，部署了 WebShell，以及用于持久化、远程访问和提权的脚本。同时，他们还使用 “以合法工具作恶”（LOTL） 技术来规避检测。 调查显示，攻击者先用 Burp 工具扫描对外开放的 GeoServer，然后通过虚拟专用服务器（VPS）和公开工具利用该漏洞，在两台 GeoServer 上实现远程代码执行。他们通过 eval 注入上传 WebShell，创建定时任务（cron）和新账户以维持持久化，并尝试使用公开的 dirtycow 提权工具提升权限。 CISA 分享了他们总结的经验教训： 第一，漏洞未能及时修复； 第二，机构未对事件响应计划（IRP）进行测试或演练，IRP 也未能确保能及时引入第三方并授予必要权限； 第三，EDR 警报未被持续监控，部分对外系统缺乏终端防护。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌在周三发布了Chrome网络浏览器的安全更新，以解决四个漏洞，其中包括一个已被证实存在野外利用的漏洞。 这个零日漏洞是CVE-2025-10585，被描述为V8 JavaScript和WebAssembly引擎中的类型混淆问题。 类型混淆漏洞可能会产生严重后果，因为恶意行为者可以利用这些漏洞触发意外的软件行为，导致执行任意代码和程序崩溃。 谷歌威胁分析小组（TAG）在2025年9月16日发现了这个漏洞并进行了报告。 正如通常的情况一样，该公司没有分享关于该漏洞在现实世界攻击中如何被滥用、被谁滥用以及这种攻击的规模等额外细节。这是为了防止其他威胁行为者在用户能够应用修复之前利用该问题。 “谷歌知道CVE-2025-10585的利用程序存在于野外，”它在一份简短的咨询中承认。 CVE-2025-10585是自今年年初以来，第六个被积极利用或作为概念验证（PoC）展示的Chrome零日漏洞。这包括：CVE-2025-2783、CVE-2025-4664、CVE-2025-5419、CVE-2025-6554和CVE-2025-6558。 为了防范潜在威胁，建议用户将他们的Chrome浏览器更新到Windows和苹果macOS的140.0.7339.185/.186版本，以及Linux的140.0.7339.185版本。为了确保安装了最新的更新，用户可以导航到更多>帮助>关于Google Chrome，并选择重新启动。 其他基于Chromium的浏览器用户，如微软Edge、Brave、Opera和Vivaldi，也建议在修复程序可用时尽快应用。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 周一，苹果公司推出了一项回溯修复补丁，针对此前已修复、但在现实场景中被活跃利用的安全漏洞。 此次涉及的漏洞编号为CVE-2025-43300（CVSS 评分：8.8），属于 ImageIO 组件中的 “越界写入” 问题。当设备处理恶意图像文件时，该漏洞可能导致内存损坏。 苹果公司表示：“我们已知悉相关报告，该漏洞可能已被用于针对特定个人的极为复杂的攻击中。” 此后，WhatsApp 也确认，其苹果 iOS 和 macOS 平台的即时通讯应用中存在一个漏洞（漏洞编号：CVE-2025-55177，CVSS 评分：5.4），该漏洞与 CVE-2025-43300 被 “链式利用”，成为针对不到 200 人的高度定向间谍软件攻击的一部分。 此前，苹果已于上月末首次针对该漏洞推出修复，当时发布的系统版本包括 iOS 18.6.2、iPadOS 18.6.2、iPadOS 17.7.10、macOS Ventura 13.7.8、macOS Sonoma 14.7.8 以及 macOS Sequoia 15.6.1。目前，苹果已为以下旧款设备的系统版本推送该漏洞的修复更新： iOS 16.7.12 和 iPadOS 16.7.12：适用设备包括 iPhone 8、iPhone 8 Plus、iPhone X、第 5 代 iPad、9.7 英寸 iPad Pro 以及第 1 代 12.9 英寸 iPad Pro。 iOS 15.8.5 和 iPadOS 15.8.5：适用设备包括 iPhone 6s（所有机型）、iPhone 7（所有机型）、第 1 代 iPhone SE、iPad Air 2、第 4 代 iPad mini 以及第 7 代 iPod touch。 此次漏洞修复更新与多个系统版本同步推送，包括 iOS 26、iPadOS 26、iOS 18.7、iPadOS 18.7、macOS Tahoe 26、macOS Sequoia 15.7、macOS Sonoma 14.8、tvOS 26、visionOS 26、watchOS 26、Safari 26 以及 Xcode 26。这些新版本同时修复了其他多项安全漏洞，具体如下： CVE-2025-31255：IOKit 组件中的授权漏洞，可能允许应用访问敏感数据。 CVE-2025-43362：LaunchServices 组件中的漏洞，可能允许应用在未经用户许可的情况下监控键盘输入。 CVE-2025-43329：沙盒（Sandbox）中的权限漏洞，可能允许应用突破沙盒限制。 CVE-2025-31254：Safari 浏览器中的漏洞，处理恶意构造的网页内容时可能导致意外的 URL 重定向。 CVE-2025-43272：WebKit 引擎中的漏洞，处理恶意构造的网页内容时可能导致 Safari 意外崩溃。 CVE-2025-43285：应用沙盒（AppSandbox）中的权限漏洞，可能允许应用访问受保护的用户数据。 CVE-2025-43349：CoreAudio 组件中的越界写入问题，处理恶意构造的视频文件时可能导致应用意外终止。 CVE-2025-43316：DiskArbitration 组件中的权限漏洞，可能允许应用获取 root 权限（最高系统权限）。 CVE-2025-43297：电源管理（Power Management）中的类型混淆漏洞，可能导致拒绝服务（设备无法正常提供服务）。 CVE-2025-43204：RemoteViewServices 组件中的漏洞，可能允许应用突破沙盒限制。 CVE-2025-43358：快捷指令（Shortcuts）中的权限漏洞，可能允许快捷指令绕过沙盒限制。 CVE-2025-43333：聚焦搜索（Spotlight）中的权限漏洞，可能允许应用获取 root 权限。 CVE-2025-43304：StorageKit 组件中的竞争条件漏洞，可能允许应用获取 root 权限。 CVE-2025-48384：Xcode 中的 Git 漏洞，克隆恶意构造的代码仓库时可能导致远程代码执行。 目前尚无证据表明上述任何漏洞已在现实攻击中被 “武器化”（即被用于实际攻击），但保持系统更新始终是保障设备安全的最佳实践，可实现最优防护效果。    消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Oligo Security分享了一种苹果CarPlay攻击的细节，黑客可能无需任何交互即可发起此类攻击。 研究人员披露了一种远程CarPlay攻击的细节，该攻击可使攻击者监视驾驶员或使他们分心。 运行时应用程序安全公司Oligo今年早些时候透露，其研究人员发现了苹果AirPlay无线通信协议及配套SDK中存在的潜在严重漏洞，并警告称这些漏洞可能使黑客能够远程控制设备。 AirPlay被苹果产品使用，但这家科技巨头也已将其使用授权给其他供应商，后者已将其应用于电视、音响系统和流媒体设备中。 Oligo当时指出，这些被统称为AirBorne的漏洞可被利用来实现远程代码执行、安全绕过、信息泄露、拒绝服务攻击以及中间人攻击。 其中一个漏洞（CVE-2025-24132）使攻击者能够创建可蠕虫化的零点击远程代码执行漏洞利用程序，从而利用受感染设备作为发起额外攻击的跳板。 Oligo当时提到，攻击者也可以无需任何用户交互即可对CarPlay系统发起攻击。该公司现在已分享了有关CarPlay（具体为苹果CarPlay）攻击的更多细节。 该攻击针对的是CarPlay用于建立无线连接的iAP2协议。iAP2采用单向认证，手机会对车辆信息娱乐系统的主机进行认证，但主机不会对手机进行认证。 “简单来说，汽车会检查其是否与合法设备通信，但该设备会接受任何使用iAP2的客户端。这意味着攻击者如果拥有蓝牙无线电设备和兼容的iAP2客户端，就可以伪装成iPhone，请求WiFi凭据，触发应用程序启动并发出任何iAP2命令。”Oligo解释道。 一旦黑客完成蓝牙配对过程，他们就可以通过iAP2进行认证，获取WiFi凭据，并连接到汽车热点。从那里，他们可以利用上述AirPlay SDK漏洞（CVE-2025-24132）实现具有root权限的远程代码执行。 然后，攻击者可以接管屏幕并显示图像或播放音频以分散驾驶员的注意力。攻击者还可以窃听对话或追踪车辆的位置。 苹果公司在4月底修复了CVE-2025-24132漏洞，但只有少数供应商将该修复程序集成到其产品中，Oligo并不知晓有任何汽车制造商应用了该修复程序，这也是为什么它尚未公开完整的细节。 “即使苹果发布了修复后的SDK，每家汽车制造商也必须针对其自身系统对其进行调整、测试和验证——这需要与主机供应商、内部软件团队以及有时是中间件提供商进行协调。每一步都可能带来潜在的延误，并需要进行有力的协作。”Oligo解释道。 “结果就是存在长期的漏洞暴露风险。”它补充道。“虽然高端车型凭借强大的OTA更新通道可能能够快速完成修复，但许多其他车型可能需要数月、数年，甚至根本无法获得更新。这使得数百万辆汽车可能面临风险——尽管官方修复方法早已存在。”       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处：     今天是微软2025年9月的“周二补丁日”，包括针对81个漏洞的安全更新，其中包含两个公开披露的零日漏洞。 此次“周二补丁日”还修复了9个“严重”漏洞，其中5个是远程代码执行漏洞，1个是信息泄露漏洞，2个是权限提升漏洞。 以下是每个漏洞类别的漏洞数量： – 41个权限提升漏洞 – 2个安全功能绕过漏洞 – 22个远程代码执行漏洞 – 16个信息泄露漏洞 – 3个拒绝服务漏洞 – 1个欺骗漏洞 当BleepingComputer报道“周二补丁日”的安全更新时，我们只计算在“周二补丁日”发布的更新。 因此，漏洞数量不包括本月早些时候修复的三个Azure漏洞、一个Dynamics 365 FastTrack实施资产漏洞、两个Mariner漏洞、五个Microsoft Edge漏洞和一个Xbox漏洞。 要了解更多关于今天发布的非安全更新的信息，您可以查看我们关于Windows 11 KB5065426和KB5065431累积更新以及Windows 10 KB5065429更新的专门文章。 修复两个公开披露的零日漏洞 本月的“周二补丁日”修复了Windows SMB服务器和Microsoft SQL服务器中的两个公开披露的零日漏洞。微软将零日漏洞定义为在没有官方修复程序的情况下公开披露或正在被利用的漏洞。 这两个公开披露的零日漏洞是： · CVE-2025-55234 – Windows SMB权限提升漏洞 微软修复了一个通过中继攻击利用的SMB服务器权限提升漏洞。 “根据配置，SMB服务器可能容易受到中继攻击。成功利用这些漏洞的攻击者可以执行中继攻击，并使用户受到权限提升攻击。”微软解释道。 微软表示，Windows已经包括了一些设置，以增强SMB服务器对中继攻击的防护，包括启用SMB服务器签名和SMB服务器扩展保护认证（EPA）。 然而，启用这些功能可能会导致与旧设备和实现的兼容性问题。 微软建议管理员在SMB服务器上启用审核，以确定在完全强制执行这些加固功能时是否会遇到任何问题。 “作为2025年9月9日及以后发布的Windows更新的一部分（CVE-2025-55234），启用了对SMB服务器签名以及SMB服务器EPA的SMB客户端兼容性的审核支持。”微软解释道。 微软没有将该漏洞归因于任何研究人员，目前尚不清楚该漏洞是在何处被披露的。 · CVE-2024-21907 – VulnCheck：CVE-2024-21907 Newtonsoft.Json对异常条件的不当处理 微软修复了Newtonsoft.Json中的一个已知漏洞，该漏洞是作为Microsoft SQL Server的一部分包含的。 “CVE-2024-21907解决了Newtonsoft.Json在13.0.1版本之前的异常条件处理不当漏洞。”微软解释道。 “传递给JsonConvert.DeserializeObject方法的精心制作的数据可能会触发StackOverflow异常，导致拒绝服务。根据该库的使用情况，未经身份验证的远程攻击者可能能够导致拒绝服务条件。” “记录的SQL Server更新包含了修复此漏洞的Newtonsoft.Json更新。” 该漏洞于2024年被公开披露。     消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Adobe警告称，其Commerce和Magento开源平台存在一个严重的安全漏洞，如果被成功利用，可能会使攻击者能够接管客户账户。 该漏洞被追踪为CVE-2025-54236（也称为SessionReaper），其CVSS评分为9.1（满分10.0），被描述为一个不当输入验证漏洞。Adobe表示，目前尚未发现有针对该漏洞的野外利用情况。 “潜在攻击者可以通过Commerce REST API在Adobe Commerce中接管客户账户。”Adobe在今天发布的一份咨询报告中表示。 该问题影响以下产品和版本： Adobe Commerce（所有部署方式）： – 2.4.9-alpha2及更早版本 – 2.4.8-p2及更早版本 – 2.4.7-p7及更早版本 – 2.4.6-p12及更早版本 – 2.4.5-p14及更早版本 – 2.4.4-p15及更早版本 Adobe Commerce B2B： – 1.5.3-alpha2及更早版本 – 1.5.2-p2及更早版本 – 1.4.2-p7及更早版本 – 1.3.4-p14及更早版本 – 1.3.3-p15及更早版本 Magento开源： – 2.4.9-alpha2及更早版本 – 2.4.8-p2及更早版本 – 2.4.7-p7及更早版本 – 2.4.6-p12及更早版本 – 2.4.5-p14及更早版本 自定义属性可序列化模块： – 0.1.0至0.4.0版本 除了发布针对该漏洞的热修复程序外，Adobe还表示，已部署网络应用防火墙（WAF）规则，以保护使用Adobe Commerce云基础设施的商家免受可能的利用尝试。 “SessionReaper是Magento历史上更严重的漏洞之一，可与2015年的Shoplift、2019年的Ambionics SQLi、2022年的TrojanOrder和2024年的CosmicSting相提并论。”电子商务安全公司Sansec表示。 这家总部位于荷兰的公司表示，已成功复现了利用CVE-2025-54236的一种可能方式，但指出还有其他可能的途径可以利用该漏洞。 “该漏洞遵循去年CosmicSting攻击的熟悉模式。”它补充道，“该攻击结合了恶意会话和Magento REST API中的嵌套反序列化漏洞。” “特定的远程代码执行向量似乎需要基于文件的会话存储。然而，我们建议使用Redis或数据库会话的商家也立即采取行动，因为有多种方式可以滥用这个漏洞。” Adobe还发布了修复程序，以修复ColdFusion中的一个关键路径遍历漏洞（CVE-2025-54261，CVSS评分：9.0），该漏洞可能导致任意文件系统写入。它影响所有平台上的ColdFusion 2021（更新21及更早版本）、2023（更新15及更早版本）和2025（更新3及更早版本）。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安卓Runtime（CVE-2025-48543）和Linux内核（CVE-2025-38352）中的提权漏洞已在针对性攻击中被利用。 谷歌本周发布了2025年9月的安卓补丁集，共修复了111个独特的CVE漏洞，其中包括被利用的零日漏洞。 这两个被利用的漏洞都是提权问题，分别影响安卓Runtime（CVE-2025-48543）和Linux内核（CVE-2025-38352）。 “有迹象表明以下漏洞可能正在受到有限的针对性利用：CVE-2025-38352、CVE-2025-48543，”谷歌的公告中写道。 Linux内核漏洞的修复已于7月宣布，该漏洞与POSIX CPU计时器的处理有关，存在竞争条件。所有主要发行版似乎都已修复了该漏洞。 尽管在谷歌发出最新警告之前没有关于该漏洞被利用的报告，但该漏洞是由谷歌威胁分析小组（TAG）的Benoît Sevens报告的，这表明它可能在间谍软件攻击中被利用。 谷歌的公告没有提供关于安卓运行时安全缺陷的详细信息，除了它影响安卓开源项目（AOSP）13、14、15和16版本。 安卓Runtime零日漏洞已在2025-09-01安全补丁级别中得到解决，该补丁级别还解决了框架、系统和Widevine DRM中的其他58个漏洞。 谷歌警告说，其中最严重的是系统组件中的一个高危远程代码执行缺陷（CVE-2025-48539），该缺陷可以在不需要额外权限的情况下被利用。 更新到2025-09-05安全补丁级别的设备还将获得Linux内核漏洞的修复，以及影响Linux内核和Arm、Imagination Technologies、联发科、高通组件的其他51个问题的修复。 本月，谷歌为Pixel设备发布了一轮新的安全更新，解决了这些设备特有的23个漏洞，以及安卓2025年9月安全公告中识别的所有漏洞。 安卓公告中描述的所有漏洞也已通过Wear OS、Pixel Watch和汽车操作系统更新得到解决。Wear OS和Pixel Watch更新分别包含针对另外两个和一个安全缺陷的修复。 建议用户在其设备可用2025-09-05安全补丁级别时尽快进行更新。     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文