HackerNews 编译，转载请注明出处： 趋势科技敦促其Apex One终端安全解决方案本地版本的用户安装更新，以修复两个0day漏洞。该公司于周二发布的安全公告警告客户，两个被追踪为CVE-2025-54948和CVE-2025-54987的关键漏洞已在至少一起野外攻击中被利用。 这些安全漏洞被称为操作系统命令注入问题，会影响Apex One管理控制台。未经身份验证的远程攻击者可以利用这些漏洞上传恶意代码，并在受影响的系统上执行命令。 CVE-2025-54987被描述为“本质上与CVE-2025-54948相同”，但影响不同的CPU架构。 趋势科技告知客户：“对于这个特定的漏洞，攻击者必须能够访问趋势科技Apex One管理控制台。因此，如果客户将控制台IP地址暴露在外部，应考虑采取诸如源限制之类的缓解措施（如果尚未应用的话）。” 根据公告，漏洞已于8月1日报告给趋势科技，该公司似乎紧急发布了漏洞补丁。 目前尚未分享有关利用CVE-2025-54948和/或CVE-2025-54987的0day攻击的详细信息。 漏洞由台湾网络安全公司CoreCloud Tech的研究员Jacky Hsieh报告。 威胁行为者针对趋势科技产品漏洞发起攻击的情况并不罕见。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 思科Talos研究人员周二披露，戴尔数百万台笔记本电脑采用的安全芯片存在漏洞，可能使攻击者窃取敏感数据，并在设备重装操作系统后仍维持访问权限。该研究此前未公开，经戴尔6月安全公告确认，影响超100款笔记本型号，涉及存储密码、生物识别数据及安全代码的专用芯片，该芯片同时负责安装指纹/智能卡/NFC驱动及固件。 研究人员表示尚无漏洞野外利用迹象。戴尔已于3月至5月分阶段发布补丁，并于6月13日发布完整安全公告。漏洞专属于戴尔ControlVault安全固件与软件采用的博通BCM5820X芯片。思科Talos高级漏洞研究员Philippe Laulheret指出，受影响的Latitude与Precision等机型广泛用于网络安全行业及政府场景，“需通过智能卡或NFC强化登录安全的敏感行业更易受波及”。 Laulheret在周二发布的博客中透露，相关分析将于8月6日拉斯维加斯黑帽安全大会上展示。思科Talos外联负责人Nick Biasini强调，此发现凸显需加强对处理生物识别等敏感数据的硬件安全研究：“安全飞地、生物识别等技术的应用日益广泛，虽提升设备安全性，却也引入了新攻击面”。 戴尔发言人声明称已“快速透明地解决问题”，并指引用户查阅6月13日公告：“建议客户及时安装我们提供的安全更新并升级至受支持的产品版本，以确保系统安全。”     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现名为“DoubleTrouble”的安卓银行木马近期大幅升级传播手段与技术能力，对欧洲用户构成严重威胁。该木马最初通过仿冒大型银行的钓鱼网站传播，现已扩展至利用Discord平台托管恶意APK文件进行分发，显著增加了检测与防御难度。 Zimperium研究人员分析了当前攻击活动的9个样本及25个早期变种。据周三发布的报告显示，新版木马新增多项敏感数据窃取、设备操控及传统移动防御规避功能。 实时监控技术升级 木马安装后会伪装为合法应用（使用谷歌Play图标），诱导用户开启安卓无障碍服务。借此权限，木马可在后台隐蔽运行。其采用基于会话的安装方式，将恶意负载隐藏在应用资源目录中，有效规避早期检测。最新版本核心功能包括： 通过媒体投影（MediaProjection）与虚拟显示（VirtualDisplay）接口实现实时屏幕录制。 伪造锁屏覆盖界面窃取PIN码、密码及解锁图案。 基于无障碍事件监控的键盘记录。 针对性拦截银行应用或安全工具。 仿冒合法登录界面的定制化钓鱼覆盖层。 窃取数据经编码后传输至远程命令控制（C2）服务器，目标涵盖银行应用、密码管理工具及加密货币钱包的凭证。通过实时镜像用户设备屏幕，攻击者可绕过多因素认证，直接获取用户所见敏感内容。 全功能命令控制系统 该木马响应数十种C2服务器指令，支持远程攻击者： 模拟点击滑动操作 触发伪造UI元素 显示黑屏或更新界面 操控系统级设置 特定指令（如发送密码、启动图形拦截、屏蔽应用）使攻击者在窃密同时能主动阻挠用户操作。Zimperium警告称，DoubleTrouble采用的混淆技术、动态覆盖层与实时视觉窃取能力，标志着移动威胁正朝适应性强、持久化方向演进。其持续升级的传播手法与技术特性，对个人用户与金融机构均构成严峻挑战。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全专家指出，尽管微软决定从8月1日起关闭其Authenticator应用的密码管理功能，密码管理器在未来一段时间内仍将是防御身份相关威胁的重要工具。 微软早已逐步缩减Authenticator的密码存储与自动填充能力：自6月初起，用户无法新增或导入密码；7月期间自动填充功能被关闭；而自8月1日起，所有保存的密码将无法通过该应用访问。此后，存储的密码可通过Edge浏览器访问和自动填充，或导出至其他密码管理器。但微软更希望用户转向通行密钥（passkey）——该认证方式仍受Authenticator支持，且被广泛认为更安全便捷（通过PIN或生物识别实现无密码登录）。 Keeper Security首席执行官Darren Guccione对此提出异议：“微软取消密码支持的举措看似预示行业正快速转向无密码认证，但数据揭示另一现实。这远非预示剧变，而是渐进转型中的一步。能生成并保护传统密码的解决方案对个人和企业仍至关重要，即便通行密钥在数字系统中的普及度持续提升。”他援引数据称，40%的企业采用密码与通行密钥并存的混合认证环境。 IEEE高级成员、诺丁汉大学网络安全教授Steve Furnell呼应此观点：“向无密码未来的过渡仍需时间。许多企业近期才部署多因素认证（MFA），缺乏动力开发通行密钥等新技术，尽管后者能提升用户体验。另一些企业或因定制系统或遗留系统限制，仍被迫使用传统密码。”他补充道，依赖密码的企业须落实两项基础措施：“首先提供明确指导，使用户理解如何有效创建和管理密码；其次实施默认安全策略，无论用户行为如何都能降低风险。”       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苹果已修复一个被用于攻击谷歌Chrome用户的高危零日漏洞。该漏洞编号为CVE-2025-6558（CVSS评分8.8），苹果通过安全更新予以解决。 此漏洞源于谷歌Chrome 138.0.7204.157之前版本中ANGLE与GPU组件对不可信输入的验证不足，可能使远程攻击者通过特制HTML页面实现沙箱逃逸。 ANGLE（近乎原生图形层引擎）是谷歌开发的开源图形引擎，充当OpenGL ES与Direct3D、Vulkan、Metal等其他图形API之间的兼容层。 谷歌威胁分析小组（TAG）研究员Clément Lecigne和Vlad Stolyarov于2025年6月23日报告此漏洞。本周，美国网络安全和基础设施安全局（CISA）将其纳入已知被利用漏洞（KEV）目录。谷歌TAG团队专门调查国家背景黑客及商业间谍软件发动的攻击，此次漏洞极可能已被某威胁组织实际利用。 “谷歌确认针对CVE-2025-6558的漏洞利用程序已在野出现。”谷歌发布的警报声明称。 苹果在公告中说明：“此漏洞存在于开源代码中，苹果软件属于受影响项目。CVE编号由第三方机构分配。”并警告称“处理恶意构造的网络内容可能导致Safari意外崩溃”。 苹果已通过WebKit安全更新修复以下产品的漏洞： iOS 18.6与iPadOS 18.6：iPhone XS及后续机型；13英寸iPad Pro、12.9英寸iPad Pro（第三代及后续）、11英寸iPad Pro（第一代及后续）、iPad Air（第三代及后续）、iPad（第七代及后续）及iPad mini（第五代及后续） macOS Sequoia 15.6：所有运行macOS Sequoia的Mac设备 iPadOS 17.7.9：12.9英寸iPad Pro（第二代）、10.5英寸iPad Pro及iPad（第六代） visionOS 2.6：Apple Vision Pro watchOS 11.6：Apple Watch Series 6及后续机型 tvOS 18.6：Apple TV HD与Apple TV 4K（所有型号）       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 罗马尼亚超1万人被引诱参与Instagram和Facebook上的游戏，用户误以为赢得超值优惠：仅需支付2美元即可获得麦当劳汉堡、芝士汉堡、巨无霸、鸡肉汉堡各一份，外加四份薯条和四杯可口可乐。 一场打着“难以置信快餐优惠”幌子的新型订阅骗局正在掏空用户钱包。安全公司Bitdefender警告称，诈骗者通过投放广告宣传虚假麦当劳促销活动，诱骗社交媒体用户陷入高额订阅陷阱。 研究人员揭露了当前在罗马尼亚大规模运行的骗局，已波及超1万人。诈骗者在Facebook和Instagram广告中宣称提供三重套餐，仅需10罗马尼亚列伊（约合2美元）。 点击广告的用户需完成简单三题问卷，随后被重定向至点击式游戏界面，声称可赢取麦当劳奖品，以此制造真实性和紧迫感假象。但结果与运气无关——所有参与者最终都会成为“赢家”。 Bitdefender分析师在报告中指出：“受害者不仅未获得廉价餐食，反而被绑定每两周自动扣费63.42欧元（约73美元）的订阅服务。” 为领取奖品，受害者需填写看似正规的表格（页面展示虚假好评以博取信任），仅细则条款注明用户将接受每14天一次的定期扣费。 该骗局自7月17日持续至今。研究人员已在Meta平台发现至少六种广告变体，均来自虚假品牌McDelight România，类似骗局亦出现在匈牙利和荷兰市场。 Bitdefender郑重提醒：“请牢记——任何正规企业绝不会为免费餐食收取每两周63.42欧元的费用。” 防护建议：避免在可疑促销网站输入支付信息；警惕隐藏订阅费的细则条款；向Meta平台举报诈骗广告；若怀疑受骗，立即联系银行拦截未授权扣款。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了流行氛围编程平台Base44的一处关键安全漏洞（现已修复），该漏洞可能导致攻击者越权访问用户构建的私有应用程序。云安全公司Wiz向《黑客新闻》提供的报告中指出：“我们发现的漏洞利用方式异常简单——攻击者仅需向未公开的注册和邮件验证端口提交非机密的app_id值，就能为其平台上的私有应用创建已验证账户”。 该漏洞的最终影响是“绕过所有身份验证控制（包括单点登录防护），获取私有应用程序及其内部数据的完全访问权限”。经2025年7月9日负责任披露后，平台所有者Wix公司在24小时内发布了官方修复补丁。目前无证据表明该漏洞曾在真实环境中遭恶意利用。 氛围编程作为一种人工智能驱动的技术，旨在通过文本指令自动生成应用代码。随着AI工具在企业环境中的普及，最新研究揭示了传统安全范式可能“未能充分应对的新兴攻击面”。Wiz在Base44中发现的问题源于配置缺陷——两个身份验证相关端口未设任何限制，导致攻击者仅凭“app_id”参数即可注册私有应用： api/apps/{app_id}/auth/register：通过提交邮箱地址与密码注册新用户 api/apps/{app_id}/auth/verify-otp：通过一次性密码（OTP）验证用户 由于“app_id”值属于非敏感数据，会直接显示在应用URL及其manifest.json文件路径中，攻击者不仅能利用目标应用的app_id注册新账户，还可通过OTP验证邮箱地址，“从而获取本无权限访问的应用程序控制权”。安全研究员Gal Nagli解释：“确认邮箱后，我们直接通过应用页面的单点登录系统成功越权访问。这意味着Base44托管的私有应用程序均可被非授权获取”。 与此同时，安全研究证实当前最先进的大语言模型（LLM）和生成式AI工具存在被“越狱或遭受提示词注入攻击的风险”，导致其突破伦理防护机制产生恶意响应、合成虚假内容或出现幻觉现象。某些情况下，AI系统甚至“会在错误反论证前放弃正确答案，对多轮交互系统构成威胁”。近期已记录的攻击案例包括： Gemini CLI因上下文文件验证缺失、提示注入及误导性用户体验形成“毒性组合”，致使检查恶意代码时静默执行危险指令。 利用托管于Gmail的特制邮件诱骗Claude重写内容，突破限制实现代码执行。 通过回声室效应与渐强策略越狱xAI的Grok 4模型，在无显性恶意输入下诱导有害响应（该模型在99%无加固提示场景中泄漏受限数据并遵循攻击指令）。 操控OpenAI ChatGPT通过竞猜游戏泄露有效Windows产品密钥。 Nagli强调：“AI开发领域正以空前速度演进，将安全性植入平台基础架构（而非事后补救）对释放技术潜力与保护企业数据至关重要。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 固件安全与供应链风险管理公司 Binarly 周二报告称，联想设备受到多个漏洞影响，其中一些漏洞可能允许攻击者在目标系统上部署持久性植入程序。 Binarly 在联想一体台式机中发现了总共六个漏洞，具体存在于系统管理模式（SMM）中，这是一种用于低级系统管理的操作模式。 由于 SMM 在操作系统加载之前启动，并且在重新安装系统后仍然存在，因此对于试图绕过安全启动（旨在确保启动时仅加载可信软件的安全功能）并部署隐蔽恶意软件的威胁行为者来说，它可能是一个理想目标。 这些漏洞已被分配 CVE 标识符，从 CVE-2025-4421 到 CVE-2025-4426。其中四个被评为 “高严重性”，其余则被归类为 “中严重性”。 高严重性漏洞属于内存损坏问题，可能导致在 SMM 中发生权限提升和任意代码执行。中严重性漏洞可能导致信息泄露和安全机制被绕过。 能够接触到目标联想设备的威胁行为者可利用这些漏洞绕过 SPI 闪存保护措施和安全启动，部署能在操作系统重新安装后仍然存在的植入程序，甚至破坏虚拟机监控程序隔离。 Binarly 于 4 月向联想报告了这些漏洞，厂商在 6 月确认了相关发现。目前，联想已提供补丁和缓解措施。 联想和 Binarly 均将于周二发布描述这些漏洞的安全公告。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国《在线安全法》新规实施后，VPN使用量激增，维基百科发起法律诉讼。7月25日生效的严格年龄验证制度正引发连锁反应：瑞士VPN服务商Proton报告称，新规实施后英国用户注册量单日暴涨1800%。英国用户通过VPN将IP地址伪装成他国以规避限制，此举使政府提升儿童网络安全的计划面临挑战。 该法案强制 TikTok、Reddit、X 等含成人内容的平台实施年龄验证，用户需提供身份证或信用卡信息方可访问涉及色情、自残及网络霸凌的内容。违规企业将面临最高1800万英镑（约2400万美元）或其全球营收10%的罚款（以较高者为准），企业高管可能承担刑事责任。 隐私风险引发民众抵制。请愿撤销该法案的联署一周内超28万人签署，触发政府必须回应的法律程序。成人平台Pornhub警告：“验证系统收集高敏感数据，将大幅增加信息泄露风险”。网络安全专家同时指出，部分VPN服务商存在记录用户数据、倒卖浏览历史的行为，甚至可能被黑客利用作为流量跳板。 维基百科的诉讼成为焦点。英国通信管理局拟将其列为“一类服务”，要求实施用户年龄验证、编辑身份认证及删除模糊定义的“有害内容”。维基媒体基金会称此举将威胁平台核心原则：年龄验证可能阻碍敏感议题编辑，身份认证或危及志愿者安全。7月22日至23日伦敦皇家法院已审理此案，若维基百科最终拒绝合规，其在英国的服务可能被全面封锁。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现，俄罗斯正越来越多地利用吉尔吉斯斯坦快速增长的加密货币行业规避国际制裁，并为乌克兰战争输送资金。 区块链情报公司TRM Labs新报告显示，受制裁的俄罗斯实体多次使用在吉尔吉斯斯坦注册的交易所。这些虚拟资产服务提供商（VASP）大多以空壳公司形式运作，常在不同实体间重复使用相同住址、联系方式和创始人身份。 报告指出，部分吉尔吉斯注册的VASP既无可见业务运营，也无面向公众的用户平台。有些与物流公司共享电话号码，另一些则列名毫无商业或加密货币经验的创始人。 某些实体还与高风险俄罗斯加密交易所Garantex共享钱包基础设施和行为模式——该平台于2022年被美国制裁并下线。研究人员认为部分吉尔吉斯注册企业可能由原平台的同一批人操控。 自2022年俄罗斯全面入侵乌克兰以来，克里姆林宫日益依赖替代性金融网络资助战事并获取敏感技术。吉尔吉斯斯坦已成为莫斯科的重要物流和金融枢纽。据报道，半导体、无人机部件和反无人机设备等常被视为军民两用的商品，从中国等国家出口后经吉尔吉斯斯坦转运至俄罗斯。 吉尔吉斯斯坦的加密友好政策进一步助长了此类活动。该国2022年通过法律承认虚拟资产的合法地位，并为加密企业建立许可制度，将其纳入正式监管框架。 吉尔吉斯的加密漏洞是俄罗斯重构经济体系以抵御西方制裁的整体战略一环。克里姆林宫还在本土将规避制裁行为制度化：莫斯科知名高等经济学院近期开设硕士课程，专门教授学生如何应对西方贸易和金融限制，表明俄政府将构建制裁抵御型经济视为长期战略。 西方国家日益关注俄罗斯不断扩张的制裁规避体系。今年6月，美国当局指控一名纽约居住的俄罗斯公民利用其加密公司为受制裁俄银行转移敏感美国技术和资金。 TRM Labs研究人员强调：“寻求遏制俄罗斯制裁规避手段的各国政府及执法机构，需紧急与吉尔吉斯当局直接沟通合规事宜。若放任不管，俄罗斯可能在邻国复制相同模式。”       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文