HackerNews 编译，转载请注明出处： 网络安全研究人员警告，海康威视HikCentral软件中存在三个漏洞，该软件是广泛应用于视频监控、门禁控制和集成安全运营的集中管理平台。 这三个漏洞分别是： CVE-2025-39245（基础评分4.7）：部分HikCentral Master Lite版本存在CSV注入漏洞，攻击者可通过恶意CSV数据注入可执行命令。 CVE-2025-39246（基础评分5.3）：部分HikCentral FocSign版本存在未加引号的服务路径漏洞，已认证用户可能通过本地访问实现权限提升。 CVE-2025-39247（基础评分8.6）：部分HikCentral Professional版本存在访问控制漏洞，未认证用户可获取管理员权限。 其中，CVE-2025-39247被评定为高风险等级，它允许未经任何认证的用户完全接管HikCentral Professional系统。当攻击者甚至无需登录即可提升其权限时，他们实质上就掌控了整个环境。这为操纵配置、篡改日志甚至关闭关键监控功能开辟了直接路径。 HikCentral是许多组织安全基础设施的核心。公司依赖它来管理监控摄像头、控制建筑物出入并将来自多个设备的数据集成到一个统一的平台中。攻击者可以利用此权限提升漏洞接管这些功能。一旦攻击者提升了权限，他们就可以以管理员身份操作、安装恶意软件、创建隐藏账户或窃取敏感信息。想象一下这样的场景：攻击者在物理入侵期间关闭摄像头、解锁受限门禁或修改审计日志以隐藏证据。这种场景对受影响组织的安全和业务连续性构成了严重威胁。 受影响的版本及修复版本如下： 产品名称 CVE 编号 受影响版本 修复版本 HikCentral Master Lite CVE-2025-39245 V2.2.1 至 V2.3.2 V2.4.0 HikCentral FocSign CVE-2025-39246 V1.4.0 至 V2.2.0 V2.3.0 HikCentral Professional CVE-2025-39247 V2.3.1 至 V2.6.2 及 V3.0.0 V2.6.3/V3.0.1 运行这些版本的组织应将此披露视为一个警示。 就HikCentral而言，风险更高是因为攻击者甚至无需先进行身份验证。他们可以匿名访问系统，利用该漏洞，并立即获得提升的控制权。这种绕过行为削弱了对标准认证过程的所有信任。 厂商已发布修复指南，最好的应对措施是立即应用更新。HikCentral管理员应： 在应用更新的同时加固环境：限制系统的外部暴露。 检查其部署的版本号：如果版本处于受影响范围内，则需要关注。 下载并安装海康威视在其官方安全公告中提供的最新补丁。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国数据保护机构国家信息与自由委员会（CNIL）宣布，因违反Cookie使用规则，对谷歌和希音（Shein）分别处以3.25亿欧元（约合3.79亿美元）和1.5亿欧元（约合1.75亿美元）的罚款。 CNIL指出，两家公司在未征得用户同意的情况下，在其浏览器上设置了广告Cookie。希音此后已更新系统以符合法规要求。据路透社报道，希音计划对此决定提出上诉。 CNIL特别说明，“在创建谷歌账户时，用户被引导选择与个性化广告展示相关的Cookie，而非通用广告相关的Cookie，且未明确告知用户为广告目的存储Cookie是使用谷歌服务的前提条件”。以此方式获得的用户同意无效，违反了《法国数据保护法》第82条。尽管谷歌在2023年10月增加了拒绝Cookie的选项，但“缺乏知情同意的问题依然存在”。 谷歌还因在Gmail“促销”和“社交”标签页中以邮件形式插入广告而受到指责。CNIL强调，根据《法国邮政与电子通信法典》（CPCE），展示此类广告需获得用户明确同意。法国电信运营商Orange曾在2024年12月因类似行为，未经用户同意在邮件中插入广告而被罚款5000万欧元。谷歌被要求六个月内完成整改，否则将面临每日10万欧元的罚款。 与此同时，美国一个陪审团裁定谷歌侵犯用户隐私，即在用户选择退出“网页与应用活动”跟踪后仍收集其数据。该集体诉讼最终判决谷歌支付4.25亿美元赔偿金。谷歌在给路透社的声明中表示，该裁决“误解了其产品的工作原理”，强调其隐私工具赋予用户数据控制权，并计划上诉。 此外，美国联邦贸易委员会（FTC）宣布，迪士尼已同意支付1000万美元以了结指控，因其未经家长通知或同意收集观看YouTube视频的儿童个人数据，违反了美国《儿童在线隐私保护规则》（COPPA）。FTC指出，迪士尼未正确标注其上传至YouTube的部分视频为“儿童制作”，从而收集了13岁以下儿童观看内容的数据并用于定向广告。拟议和解方案要求迪士尼在收集13岁以下儿童个人数据前开始通知家长并征得同意，并启动一个项目确保上传到YouTube的视频被正确标注。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者正在利用X平台的内置AI助手Grok，绕过该平台为减少恶意广告而引入的链接发布限制。 正如Guardio Labs研究员Nati Tal所发现，恶意广告商经常运行包含成人内容诱饵的可疑视频广告，并避免包含指向主站的链接以避免被X平台拦截。 相反，他们将链接隐藏在视频卡片下方不起眼的“From:”元数据字段中，该字段显然未被社交媒体平台扫描以检查恶意链接。 接下来，（很可能是）同一批行为者通过回复广告来询问Grok关于帖子的信息，例如“这个视频来自哪里？”或“这个视频的链接是什么？”。 Grok会解析隐藏的“From:”字段，并在回复中以可点击的格式提供完整的恶意链接，使用户能够点击并直接进入恶意网站。 由于Grok在X平台上自动是一个受信任的系统账户，其发布的内容提升了链接的可信度、覆盖范围、搜索引擎优化（SEO）和声誉，从而增加了该链接被广播给大量用户的可能性。 研究人员发现，许多此类链接通过 shady 广告网络进行跳转，最终导向诸如虚假验证码（CAPTCHA）测试、信息窃取恶意软件和其他恶意负载的诈骗。 这些链接不仅没有被X平台阻止，反而通过恶意广告向平台用户推广，并借助Grok进一步扩大了影响力。 Tal将利用此漏洞的技术称为“Grokking”，并指出其非常有效，在某些情况下能将恶意广告的曝光量放大至数百万次展示。 潜在的解决方案包括扫描所有字段、拦截隐藏链接以及对Grok添加上下文清理机制，这样AI助手就不会在用户询问时盲目地反馈链接，而是会根据拦截列表对其进行过滤和检查。 Tal向我们确认，他已联系X平台报告此问题，并得到了非官方确认，表示Grok工程师已收到报告。 BleepingComputer也联系了X平台，询问他们是否意识到这种滥用行为以及是否计划采取任何措施，但在本文发布前未收到回复。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧盟委员会方面表示：欧盟委员会主席乌尔苏拉·冯德莱恩的飞机在保加利亚上空遭遇疑似俄罗斯的GPS干扰，但已安全降落。 欧盟确认乌尔苏拉·冯德莱恩的飞机在飞往保加利亚途中经历了GPS干扰。欧洲当局怀疑是俄罗斯进行了干扰，不过飞机最终安全降落。保加利亚官员提供了这一信息，欧盟发言人则称其为“公然的干扰行为”。 欧盟发言人表示：“我们确实可以确认发生了GPS干扰，但飞机已在保加利亚安全降落。我们从保加利亚当局获得的信息显示，他们怀疑这是俄罗斯的公然干扰所致。” 冯德莱恩的专机在普罗夫迪夫附近失去GPS信号，被迫盘旋一小时后使用模拟地图进行手动降落。官员将此事归咎于俄罗斯的干扰。保加利亚当局报告称，自2022年以来，GPS干扰和欺骗事件激增，这对飞机和地面系统的运行造成了干扰。 英国《金融时报》报道称：“周日下午，一架载有冯德莱恩前往普罗夫迪夫的飞机在接近该市机场时失去了电子导航辅助设备，三名了解事件的官员表示，这被视为俄罗斯的干扰行动。”其中一名官员称：“整个机场区域的GPS都失灵了。” 克里姆林宫发言人德米特里·佩斯科夫告诉《金融时报》：“你们的信息不正确”。 保加利亚当局确认该飞机的GPS信号被中和，空中交通管制随后使用地面导航工具提供了替代的降落指导以确保安全。 欧盟委员会称“威胁和恐吓是俄罗斯敌对行为的常规组成部分”，并表示此次事件将强化其“提升防御能力并支持乌克兰”的承诺。 在冯德莱恩前往保加利亚的航班受到GPS干扰后，欧盟计划发射更多近地轨道卫星以探测此类干扰。 在波罗的海附近飞行的航空公司报告了数万起GPS干扰事件。2024年3月，俄罗斯黑客通过电子战攻击击落了英国国防大臣格兰特·沙普斯所乘的皇家空军达索猎鹰900喷气式飞机的GPS和通信系统。当时，英国国防大臣格兰特·沙普斯的皇家空军达索猎鹰900喷气式飞机从波兰（他在那里访问了参加“坚定卫士”演习的英国部队）飞回英国。 《太阳报》的防务编辑当时就在这架皇家空军达索猎鹰900喷气式飞机上，他报道称GPS和通信系统被疑似俄罗斯发起的干扰攻击禁用。 皇家空军飞行员确认，在格兰特·沙普斯的飞机飞近俄罗斯飞地加里宁格勒（与波兰接壤）期间，GPS和其他信号被阻塞了将近30分钟。 没有GPS也可以飞行，但这会增加工作负荷、降低效率，并在能见度差的情况下限制进近的精度。       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Sitecore体验平台中被披露存在三个新的安全漏洞，攻击者可能利用这些漏洞实现信息泄露和远程代码执行。 根据watchTowr Labs的报告，这些漏洞具体如下： CVE-2025-53693 – 通过不安全的反射实现HTML缓存投毒 CVE-2025-53691 – 通过不安全的反序列化实现远程代码执行（RCE） CVE-2025-53694 – ItemService API中存在信息泄露漏洞，受限匿名用户可通过暴力破解手段获取缓存密钥 Sitecore已于2025年6月针对前两个漏洞发布了补丁，并在7月修复了第三个漏洞。公司表示“成功利用相关漏洞可能导致远程代码执行以及对信息的非授权访问”。 这些发现是基于watchTowr在6月份详细报告的同一产品中的另外三个漏洞： CVE-2025-34509（CVSS评分：8.2） – 使用硬编码凭证 CVE-2025-34510（CVSS评分：8.8） – 通过路径遍历实现认证后远程代码执行 CVE-2025-34511（CVSS评分：8.8） – 通过Sitecore PowerShell扩展实现认证后远程代码执行 watchTowr Labs的研究员Piotr Bazydlo表示，新发现的漏洞可以组合成一个完整的攻击链，通过将认证前的HTML缓存投毒漏洞与一个认证后的远程代码执行问题相结合，从而入侵完全打好补丁的Sitecore体验平台实例。 导致代码执行的完整攻击链如下：威胁行为者可以利用（如果暴露的）ItemService API轻松枚举存储在Sitecore缓存中的HTML缓存密钥，并向这些密钥发送HTTP缓存投毒请求。 随后，此攻击可与CVE-2025-53691链接，提供恶意的HTML代码，最终通过无限制的BinaryFormatter调用实现代码执行。 “我们成功利用了一个受限严重的反射路径来调用一个方法，该方法允许我们污染任何HTML缓存密钥，”Bazydlo说。“这单一的原语操作打开了劫持Sitecore体验平台页面的大门——并从此处投放任意JavaScript以触发认证后远程代码执行（Post-Auth RCE）漏洞。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： WhatsApp已修复其iOS和macOS消息客户端中的一个安全漏洞，该漏洞在针对性的零日攻击中被利用。 公司表示，此零点击漏洞（编号为CVE-2025-55177）影响2.25.21.73之前版本的iOS版WhatsApp、2.25.21.78之前版本的iOS版WhatsApp Business，以及2.25.21.78之前版本的Mac版WhatsApp。 WhatsApp在一份周五发布的安全公告中称：“WhatsApp中关联设备同步消息的授权机制不完整……可能允许无关用户触发目标设备处理来自任意URL的内容。” “我们评估认为，此漏洞与苹果平台的操作系统级漏洞（CVE-2025-43300）结合，可能已被用于针对特定目标用户的复杂攻击。” 苹果本月早些时候发布紧急更新以修补CVE-2025-43300零日漏洞时，也曾表示该漏洞已被用于“极其复杂的攻击”。 尽管两家公司尚未发布有关此次攻击的进一步信息，国际特赦组织安全实验室负责人Donncha Ó Cearbhaill表示，WhatsApp已向部分用户发出警告，称他们在过去90天内已成为一项高级间谍软件活动的目标。 警告中写道：“我们已通过更改防止此特定攻击通过WhatsApp发生。然而，您的设备操作系统可能仍受恶意软件危害，或可能遭受其他方式的攻击。” 在向可能受影响的个人发送的安全威胁通知中，WhatsApp建议他们将设备恢复出厂设置，并保持设备操作系统和软件为最新状态。 今年三月，WhatsApp在收到多伦多大学公民实验室安全研究人员的报告后，修复了另一个被用于安装Paragon的Graphite间谍软件的零日漏洞。 当时一位WhatsApp发言人表示：“WhatsApp已挫败由Paragon发起的间谍软件活动，该活动针对多名用户，包括记者和公民社会成员。我们已直接联系了我们认为受影响的人士。”       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 超过28200台Citrix NetScaler ADC/Gateway设备仍暴露于高危漏洞CVE-2025-7775威胁之下。该漏洞已被确认遭在野利用，可导致远程代码执行（RCE）及服务拒绝（DoS）。 暗影服务器基金会（Shadowserver Foundation）专家警告，目前仍有超过28200台Citrix设备易受CVE-2025-7775漏洞攻击。该漏洞CVSS评分达9.2分，属于内存溢出漏洞，攻击者可借此执行远程代码或瘫痪服务。 本周Citrix修复了NetScaler ADC及NetScaler Gateway中的三个安全漏洞（CVE-2025-7775、CVE-2025-7776、CVE-2025-8424），其中CVE-2025-7775已遭实际攻击。公告明确表示：“我们已观察到未修复设备遭CVE-2025-7775漏洞利用的案例”。 美国网络安全与基础设施安全局（CISA）已将Citrix NetScaler漏洞列入“已知遭利用漏洞（KEV）目录”，要求联邦机构在2025年8月28日前完成修复。 据暗影服务器基金会监测，受影响设备主要分布在美国（10100台）、德国（4300台）、英国（1400台）、荷兰（1300台）及瑞士（1300台）。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国国务院表示，其与日本及韩国外务省协作在东京举办论坛，旨在应对朝鲜公民通过非法手段获取信息技术职位的多年渗透活动。本次论坛汇集130余位参与者，涵盖自由职业平台、支付服务提供商、加密货币企业及人工智能公司等领域。 该论坛旨在为各利益相关方搭建信息共享平台，共同制定防御策略。多起案例显示，日本与韩国企业（尤其是加密货币行业）因误雇朝鲜IT人员已损失数百万美元。 美日韩三国自2022年起就此展开合作，并于今年1月共同指出朝鲜知名黑客组织“拉撒路集团”（Lazarus Group）持续通过加密货币窃取活动实施网络犯罪，目标涵盖交易所、数字资产托管商及个人用户。除日本加密货币公司DMM Bitcoin和印度平台WazirX遭窃5亿美元外，朝鲜黑客还从Upbit、Rain Management及Radiant Capital等平台盗取1.16亿美元。 朝鲜政府通过该计划为其大规模杀伤性武器及弹道导弹项目筹集数亿美元资金。具体操作模式为：身处中国、俄罗斯或东南亚的朝鲜公民利用窃取的欧美身份证明，受雇于西方企业并获取高薪。数百名朝鲜人员以此获得职位，其中多人同时在多家财富500强企业兼任工作。 尽管部分公司承认这些IT人员工作能力合格，但美国官员警告潜在风险包括：敏感数据泄露、企业声誉损害、法律追责后果，以及掌握企业内部资产路径的朝鲜黑客可能发动后续攻击。 上月，美国财政部对三名参与IT渗透计划的朝鲜高级官员实施制裁，同时判处一名亚利桑那州女子八年监禁——该女子在美国境内运营“笔记本农场”，协助朝鲜人员伪装在美国本土工作。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 内华达州政府系统因周日（8月24日）凌晨发生的网络安全事件持续瘫痪，导致网站、电话线路及线下服务中断。州长乔·隆巴多（Joe Lombardo）周一下午发布声明称，紧急服务仍可运作，但该事件“持续影响州内特定技术系统的可用性” 。 隆巴多表示，“恢复期间，部分州政府网站或电话线路可能出现响应迟缓或短暂中断” 。州政府正与地方、部落及联邦合作伙伴协作恢复服务，并“使用临时路由和操作方案，尽可能维持公共访问渠道” 。 受事件影响，内华达州政府办公室周一全面暂停线下服务，各机构将另行通知恢复时间 。截至周一晚间，州政府官方网站仍处于离线状态 。州政府提醒居民警惕诈骗行为，强调绝不会通过电话或邮件索要个人信息或银行资料 。 州长声明补充称，调查将确认是否存在数据泄露 。目前尚无黑客组织宣称对此事件负责 ，联邦调查局已介入协助调查 。此次事件恰逢马里兰州政府同期报告网络攻击导致关键服务中断 ，而两周前拉斯维加斯刚举办全球顶尖的Black Hat网络安全大会 。 拉斯维加斯去年曾因美高梅度假村集团（MGM Resorts）勒索攻击事件陷入混乱：旗下曼德雷湾、贝拉吉奥等酒店赌场的角子机、房卡系统及ATM机大面积瘫痪数日，酒店无法受理信用卡支付，顾客被迫另寻住所，多家赌场员工被迫手工计算赌局盈亏 。美高梅最终承担超1亿美元损失，但拒绝支付赎金 。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯一名高级官员表示，政府正在考虑封禁视频会议服务 Google Meet。此前，上周末该服务在俄罗斯出现了短暂中断。 国家杜马信息技术委员会副主席安德烈·斯温佐夫（Andrei Svintsov）表示，被认为对国家安全构成威胁的西方应用程序最终可能会被禁止。 “那些能够监视我国公民并向西方情报机构发送信息的应用程序很可能会被屏蔽，”斯温佐夫在评论近期 Google Meet 中断事件时对当地媒体表示，并补充说该服务目前尚未被禁。 监控服务 Downdetector 周五收到了超过 2300 起关于 Meet 运行状况的投诉，用户报告了通话卡顿冻结、视频和音频消失以及应用程序关闭等问题。访问随后恢复。谷歌未回应置评请求。 俄罗斯互联网监管机构 Roskomnadzor 否认对 Meet 实施了限制。斯温佐夫暗示，故障可能是由于本月早些时候俄罗斯限制了 WhatsApp 和 Telegram 的通话功能后用户涌入造成的。 独立记者和数字权利专家表示，随着克里姆林宫推动推广一款名为 Max 的国家支持的消息应用，封禁 Meet 是可能的。Max 由 VKontakte 创始人帕维尔·杜罗夫的继任团队开发，仿照中国微信模式。从 9 月开始，Max 将预装在俄罗斯销售的所有新智能手机上。 本月早些时候，莫斯科屏蔽了 WhatsApp 和 Telegram 的语音和视频通话功能，指责这两款美国应用程序助长欺诈、破坏活动和恐怖主义。当局表示，如果这些公司遵守与俄罗斯执法部门共享数据的要求，服务可以恢复。 科技巨头 Meta 旗下的 WhatsApp 称，限制其应用程序通话功能的决定是企图剥夺俄罗斯人安全通信的权利，并迫使他们转向“安全性较低的服务，以便政府实施监控”。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文