HackerNews 编译，转载请注明出处： 网络安全研究人员披露了 Google Looker Studio 中的9 个跨租户漏洞，这些漏洞原本可能允许攻击者在受害者数据库上执行任意 SQL 查询，并在机构的 Google Cloud 环境中窃取敏感数据。 这些缺陷被 Tenable 公司统一命名为 LeakyLooker。目前没有证据表明这些漏洞在野外被利用过。在 2025 年 6 月通过负责任披露机制上报后，Google 已修复这些问题。 安全漏洞列表如下： ·     跨租户未授权访问 —— 数据库连接器上的零点击 SQL 注入 ·     跨租户未授权访问 —— 通过存储凭据实现的零点击 SQL 注入 ·     通过原生函数在 BigQuery 上实现跨租户 SQL 注入 ·     基于超链接的跨租户数据源泄露 ·     通过受害者数据源上的自定义查询在 Spanner 和 BigQuery 上实现跨租户 SQL 注入 ·     通过链接 API 在 BigQuery 和 Spanner 上实现跨租户 SQL 注入 ·     基于图片渲染的跨租户数据源泄露 ·     基于帧计数与时序 oracle 的任意数据源跨租户 XS 泄露 ·     通过 BigQuery 实现的跨租户 “钱包拒绝” 服务（Denial of Wallet） “这些漏洞打破了底层设计假设，揭示了一类全新的攻击方式，原本可能允许攻击者在受害者服务和 Google Cloud 环境中窃取、插入和删除数据。” 安全研究员 Liv Matan 在分享给《黑客新闻》的报告中表示。 “这些漏洞暴露了 Google Cloud Platform（GCP）环境中的敏感数据，可能影响任何使用 Google Sheets、BigQuery、Spanner、PostgreSQL、MySQL、Cloud Storage 以及几乎所有其他 Looker Studio 数据连接器的机构。” 成功利用这些跨租户漏洞可使威胁行为者访问不同云租户之间的完整数据集和项目。 攻击者可以扫描公开的 Looker Studio 报表，或获取使用这些连接器（如 BigQuery）的私有报表访问权限，进而控制数据库，使其能够在所有者的整个 GCP 项目中执行任意 SQL 查询。 另一种情况是：受害者创建报表并设为公开或分享给特定接收者，且使用了 JDBC 连接的数据源（如 PostgreSQL）。在此场景下，攻击者可利用复制报表功能中的逻辑缺陷，在克隆报表时保留原始所有者的凭据，从而删除或修改数据表。 该网络安全公司详细介绍的另一种高影响利用路径是一键式数据窃取：分享一份特制报表会强制受害者浏览器执行恶意代码，连接到攻击者控制的项目，并从日志中重建完整数据库。 “这些漏洞打破了‘查看者永远不应能够控制他们所查看的数据’这一基本承诺。”Matan 表示，并补充说这些漏洞 “原本可能让攻击者跨 BigQuery 和 Google Sheets 等 Google 服务窃取或修改数据”。   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 嵌入在可访问客户端代码中的 Google Maps 等服务 API 密钥，可被用于向 Gemini AI 助手进行身份认证并访问私有数据。 研究人员在扫描各行业机构（甚至包括 Google 自身）的互联网页面时，发现了近 3000 个此类密钥。 该问题在 Google 推出 Gemini 助手、开发者开始在项目中启用 LLM API 后出现。在此之前，Google Cloud API 密钥不被视为敏感数据，即使暴露在公网也无风险。 开发者可使用 API 密钥扩展项目功能，例如在网站中加载地图、嵌入 YouTube、使用追踪或 Firebase 服务。 Gemini 推出后，Google Cloud API 密钥同时成为了 Google AI 助手的身份认证凭证。 TruffleSecurity 研究人员发现该问题并警告：攻击者可从网页源码中复制 API 密钥，通过 Gemini API 服务访问私有数据。 由于 Gemini API 并非免费使用，攻击者可利用该权限发起 API 调用为自身牟利。 Truffle Security 表示：“根据模型与上下文窗口不同，攻击者耗尽 API 调用额度可能导致单个受害账户每天产生数千美元费用。” 研究人员警告称，这些 API 密钥已在公开 JavaScript 代码中暴露多年，如今却在无人察觉的情况下突然获得了更高危的权限。 （来源：TruffleSecurity） TruffleSecurity 扫描了 2025 年 11 月的 Common Crawl 数据集（大量热门网站的代表性快照），在代码中发现超过 2800 个公开暴露的活跃 Google API 密钥。 据研究人员称，部分密钥被大型金融机构、安全公司和招聘公司使用。他们已向 Google 报告该问题，并提供了来自其基础设施的样本。 在其中一例中，一个仅用作标识符的 API 密钥至少从 2023 年 2 月开始部署，并嵌入在 Google 某产品公网网站的页面源码中。 Google 暴露的密钥（来源：TruffleSecurity） Truffle Security 通过调用 Gemini API 的 /models 端点并列出可用模型对该密钥进行了测试。 研究人员已于去年 11 月 21 日将该问题告知 Google。 经过多轮沟通，Google 于 2026 年 1 月 13 日将该漏洞归类为 “单服务权限提升”。 Google 在向 BleepingComputer 发表的声明中表示，已知晓该报告，并 “与研究人员合作解决了该问题”。 Google 发言人向 BleepingComputer 表示：“我们已实施主动措施，检测并阻止泄露的 API 密钥访问 Gemini API。” Google 表示，新的 AI Studio 密钥将默认仅限定 Gemini 权限，泄露的 API 密钥将被禁止访问 Gemini，且检测到泄露时将发送主动通知。 开发者应检查项目中是否启用了 Gemini（Generative Language API），审计环境中所有 API 密钥是否公开暴露，并立即轮换密钥。 研究人员还建议使用 TruffleHog 开源工具检测代码与仓库中暴露的活跃密钥。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司 Tenable 的研究人员发现两款漏洞，攻击者可利用其完全攻陷 Google Looker 商业智能平台实例。 Google Looker 可助力企业将分散数据集整合至统一数据层，进而构建实时可视化报表、交互式仪表盘及数据驱动型应用。 企业可选择 Google Cloud 完全托管的软件即服务（SaaS）版本，也可将 Looker 实例部署在自有基础设施上（自托管模式）。 Tenable 研究人员发现，影响该平台的两个漏洞一旦被利用，可能导致远程代码执行与敏感数据遭窃。这两个漏洞被统称为“LookOut”，攻击者只需拥有目标 Looker 实例的开发者权限即可利用。 据 Tenable 介绍，其中远程代码执行漏洞可让攻击者获取底层基础设施的完整管理员权限，攻击者可借此窃取密钥信息、篡改数据，或进一步向内网渗透。 Tenable 解释道：“在云托管实例场景下，该漏洞或引发跨租户访问风险。” 至于第二款漏洞，该安全厂商将其定义为 “权限绕过漏洞 —— 攻击者可借助该漏洞接入 Looker 内部数据库连接，通过基于错误的 SQL 注入窃取完整的内部 MySQL 数据库数据。” 谷歌已于 2025 年 9 月下旬修复了这些漏洞。谷歌已为旗下云托管实例完成补丁部署，但自托管实例用户需自行确认已升级至修复版本。 谷歌表示，目前未发现该漏洞存在在野利用的相关证据。 消息来源:securityweek.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子借助谷歌搜索广告实施诱骗，让 Mac 用户访问声称可清理设备的虚假网站。 当用户在谷歌中搜索“mac cleaner”或“clear cache macos”等常见关键词时，此类推广广告就会出现，乍一看极具迷惑性。 广告落地页模仿苹果官方网站设计，不仅布局相似，还配有一致的导航菜单。但在专业外观的伪装下，潜藏着针对不知情 Mac 用户的恶意攻击阴谋。 攻击者已在 Medium 及谷歌自有服务等平台发布虚假帖子，传播恶意操作指令，黑客可通过这些指令完全控制受害者设备。 整个攻击活动利用了一种简单却高效的策略：用户普遍信任谷歌的广告审核机制，并且对苹果的设计语言感到熟悉和安心。 用户点击广告后会被重定向至相关页面，页面中充斥着看似专业的操作指引，内容涉及释放磁盘空间、安装系统更新等。 MacKeeper 分析师确认，威胁行为者是通过劫持的谷歌广告账户开展此次攻击活动，且疑似已入侵 Nathaniel Josue Rodriguez 等个人及 Aloha Shirt Shop 等企业的合规广告账户。 恶意软件感染流程 该攻击的核心是一条看似简单却极具破坏力的指令，且该指令被伪装成合规的系统维护操作。 当用户按照页面指示，将提供的命令复制并粘贴到Mac的“终端”应用程序中执行时，便会在无意间触发一次远程代码执行攻击。 该指令链以 “清理 macOS 存储空间”“正在安装组件，请等待” 等看似无害的语句开头，这些均为社会工程学手段，目的是让用户确信自己在执行常规维护操作。 在这些友好提示的背后，隐藏着一段经过Base64编码的文本，其中包含了真实的攻击代码。 系统会通过 base64 命令解码该隐藏文本，解码后文本将转化为实际的 shell 命令，在用户毫不知情且未授权的情况下，从远程服务器下载恶意脚本。 脚本下载后，便会以当前用户的完整权限运行，使得攻击者能够执行多种恶意操作，包括：安装恶意软件、窃取SSH密钥、创建系统后门、进行加密货币挖矿、窃取个人文件，乃至修改关键系统设置。 攻击者还采用了多种混淆技术来隐藏命令实际连接的目的地，从而增加了安全检测的难度。这种伪装下载并自动执行的模式，在专业级的恶意软件活动和供应链攻击中屡见不鲜。 MacKeeper的研究人员已成功识别出这些危险广告并向谷歌报告。目前，谷歌已采取行动，将这些恶意广告从搜索结果中移除。 消息来源:cybersecuritynews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Chrome 稳定版通道已推送 144.0.7559.109 和 144.0.7559.110 版本，修复了 Background Fetch API 中存在的一项高危安全漏洞。 该更新将在未来数天至数周内向 Windows、Mac 和 Linux 系统逐步推送，用户务必尽快将浏览器更新至最新版本。 本次安全修复的核心是漏洞 CVE-2026-1504，这是一个影响 Background Fetch API 功能实现的高危漏洞。 该漏洞被归类为功能“实现不当”问题，可能被威胁攻击者利用。 此漏洞由安全研究员 Luan Herrera 于 2026 年 1 月 9 日发现并上报，且凭借该漏洞获得谷歌漏洞奖励计划（Vulnerability Reward Program）3000 美元赏金。 Background Fetch API是一项网络标准，允许网络应用在后台下载大型文件，即使用户关闭了浏览器标签页或离开了该网站。 此实现中的漏洞可能使攻击者能够操纵后台获取操作。不过，在大多数用户安装补丁之前，具体的漏洞利用细节将暂不公开。 此次更新体现了 Chrome 对安全性的持续投入，并进一步巩固了浏览器的多层防御体系。 谷歌部署了 AddressSanitizer、MemorySanitizer、UndefinedBehaviorSanitizer、Control Flow Integrity、libFuzzer 及 AFL 等多款先进检测工具，用于发现安全问题并阻止其流入稳定版通道。 Chrome 144.0.7559 版本更新已立即启动推送。但为确保系统稳定性并便于监控，更新将分阶段进行，持续数周。 用户可通过访问 Chrome 设置菜单中的“检查更新”来手动安装更新。 Windows 和 Mac 用户应更新至版本 144.0.7559.109 或 144.0.7559.110，Linux 用户则应更新至 144.0.7559.109版本。 安全专家建议，尤其是依赖搭载 Background Fetch API 的 Web 应用的企业用户与个人用户，应优先安装此更新。 管理大量 Chrome 部署的企业组织应在更新期间密切关注推送情况，并验证相关应用的兼容性。 本次构建所包含的全部更改的完整列表，可在官方的 Chrome 提交日志中查看。 若在更新后遇到问题，用户可通过漏洞报告系统提交反馈，或前往 Chrome 社区帮助论坛寻求支持。 谷歌将持续与全球安全研究人员合作，不断强化 Chrome 的安全防护能力，竭力防止漏洞对用户造成影响。 消息来源：cybersecuritynews ； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌于周一发布了 Android 操作系统的月度安全更新，其中包含两个已被证实存在野外利用情况的漏洞。 此次补丁共修复了 107 个涉及多个组件的安全漏洞，涵盖框架（Framework）、系统（System）、内核（Kernel）以及 ARM、Imagination Technologies、联发科（MediaTek）、高通（Qualcomm）和 Unison 等厂商相关组件。 以下是两个已被野外利用的高严重性漏洞详情： CVE-2025-48633：框架组件中的信息泄露漏洞 CVE-2025-48572：框架组件中的权限提升漏洞 按照惯例，谷歌未披露有关攻击性质的更多细节，包括漏洞是被单独利用还是组合利用、攻击规模等信息，目前也不清楚攻击发起者的身份。 不过，这家科技巨头在安全公告中承认，有迹象表明这些漏洞 “可能正遭受有限范围的针对性利用”。 2025 年 12 月更新还修复了框架组件中的一个严重漏洞（CVE-2025-48631），该漏洞无需额外执行权限即可导致远程拒绝服务（DoS）攻击。 12 月安全公告包含两个补丁版本，分别为 2025-12-01 和 2025-12-05，为设备厂商提供了灵活性，使其能够更快地修复所有 Android 设备共有的部分漏洞。谷歌建议用户在补丁发布后尽快将设备更新至最新补丁版本。 值得注意的是，三个月前谷歌曾发布补丁修复了 Linux 内核（CVE-2025-38352，CVSS 评分 7.4）和 Android 运行时（CVE-2025-48543，CVSS 评分 7.4）中的两个活跃利用漏洞，这两个漏洞均可能导致本地权限提升。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苹果公司确认，谷歌旗下一款名为 “Big Sleep” 的人工智能（AI）网络安全代理工具，在其 Safari 浏览器所使用的 WebKit 组件中发现了 5 个不同的安全漏洞。这些漏洞若被成功利用，可能导致浏览器崩溃或内存损坏。 具体漏洞信息如下： CVE-2025-43429：缓冲区溢出漏洞，处理恶意构造的网页内容时可能导致进程意外崩溃（已通过改进边界检查修复） CVE-2025-43430：未明确说明的漏洞，处理恶意构造的网页内容时可能导致进程意外崩溃（已通过改进状态管理修复） CVE-2025-43431 及 CVE-2025-43433：两个未明确说明的漏洞，处理恶意构造的网页内容时可能导致内存损坏（已通过改进内存处理修复） CVE-2025-43434：释放后使用漏洞，处理恶意构造的网页内容时可能导致 Safari 浏览器意外崩溃（已通过改进状态管理修复） 苹果已于本周一（11 月 3 日）发布相关漏洞补丁，该补丁包含在 iOS 26.1、iPadOS 26.1、macOS Tahoe 26.1、tvOS 26.1、watchOS 26.1、visionOS 26.1 及 Safari 26.1 等系统更新中。以下设备及操作系统可获取该更新： iOS 26.1 与 iPadOS 26.1：iPhone 11 及后续机型、12.9 英寸 iPad Pro（第三代及后续机型）、11 英寸 iPad Pro（第一代及后续机型）、iPad Air（第三代及后续机型）、iPad（第八代及后续机型）、iPad mini（第五代及后续机型） macOS Tahoe 26.1：运行 macOS Tahoe 系统的 Mac 电脑 tvOS 26.1：Apple TV 4K（第二代及后续机型） visionOS 26.1：所有型号的 Apple Vision Pro watchOS 26.1：Apple Watch Series 6 及后续机型 Safari 26.1：运行 macOS Sonoma 和 macOS Sequoia 系统的 Mac 电脑 “Big Sleep” 前身为 “Project Naptime（午睡项目）”，是谷歌于去年推出的 AI 代理工具，由 DeepMind 与谷歌 Project Zero 团队联合研发，旨在实现自动化漏洞发现功能。该工具采用多智能体协作架构，模拟人类安全专家的分析流程，漏洞验证准确率达 92%，效率较人工审计提升 300 倍，已成功应用于多个关键开源项目的安全加固。 今年早些时候，谷歌曾披露该大型语言模型辅助框架在 SQLite 数据库中发现一个安全漏洞（CVE-2025-6965，CVSS 评分 7.2），并指出该漏洞 “存在被恶意攻击者利用的风险”。这一漏洞是栈缓冲区下溢漏洞，传统模糊测试工具未能检测到，而 Big Sleep 通过分析代码提交记录成功发现，成为 AI 代理工具首次在实际环境中发现可利用内存安全漏洞的案例。 尽管苹果本周一发布的安全公告中所列漏洞均未被标记为在野利用，但保持设备更新至最新版本始终是保障安全的最佳实践，可实现最优防护效果。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员何塞·皮诺近日披露了Chromium的Blink渲染引擎中存在一个名为”Brash”的高危漏洞，攻击者可通过单个恶意链接在数秒内使众多基于Chromium的浏览器崩溃。 “Brash”漏洞利用document.title API缺乏速率限制的缺陷，以每秒数百万次的速度向浏览器发送DOM更新请求，导致主线程过载。 该漏洞会引发CPU使用率飙升、浏览器冻结和系统减速，影响涵盖桌面端、Android及嵌入式设备。 攻击分三个阶段实施： 预加载阶段：在内存中预存100个独特的512字符十六进制字符串，以最大化更新吞吐量 爆发注入：快速执行三重更新（默认爆发量8000次，1毫秒间隔），实现每秒约2400万次标题写入 持续饱和：持续注入使UI/主线程饱和，数秒内即可导致CPU占用率飙升、标签页冻结，最终浏览器崩溃 经测试，以下基于Chromium/Blink引擎的浏览器均受影响： Chrome：15-30秒内崩溃 Edge：15-25秒内崩溃 Vivaldi/Arc/Dia浏览器：15-30秒内崩溃 Opera：约60秒内崩溃 Perplexity Comet：15-35秒内崩溃 ChatGPT Atlas：15-60秒内崩溃 Brave：30-125秒内崩溃 以下浏览器不受影响： Firefox（使用Gecko引擎） Safari及所有iOS浏览器（使用WebKit引擎） 皮诺警告，”Brash”可能被武器化并造成严重后果： 定时攻击：可预设精确执行时间，将攻击从干扰工具转变为时间精准武器 经济破坏：针对AI智能体和无头浏览器的爬取活动，可导致自动化交易、价格监控、SEO爬虫等关键业务中断 系统依赖风险：同时发生的多系统故障将暴露企业对自动化系统的关键依赖弱点 专家总结指出：”Brash的诞生证明了当基础保护措施缺失时会发生的状况。该漏洞并非存在于复杂代码中，而是源于本应受限的API缺乏速率限制这一基本设计缺陷。它对全球30亿Chromium用户的影响表明，核心组件的架构缺陷会带来巨大的全球性后果——这不是一个孤立漏洞，而是影响整个Chromium生态系统的设计缺陷。”   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌在周三发布了Chrome网络浏览器的安全更新，以解决四个漏洞，其中包括一个已被证实存在野外利用的漏洞。 这个零日漏洞是CVE-2025-10585，被描述为V8 JavaScript和WebAssembly引擎中的类型混淆问题。 类型混淆漏洞可能会产生严重后果，因为恶意行为者可以利用这些漏洞触发意外的软件行为，导致执行任意代码和程序崩溃。 谷歌威胁分析小组（TAG）在2025年9月16日发现了这个漏洞并进行了报告。 正如通常的情况一样，该公司没有分享关于该漏洞在现实世界攻击中如何被滥用、被谁滥用以及这种攻击的规模等额外细节。这是为了防止其他威胁行为者在用户能够应用修复之前利用该问题。 “谷歌知道CVE-2025-10585的利用程序存在于野外，”它在一份简短的咨询中承认。 CVE-2025-10585是自今年年初以来，第六个被积极利用或作为概念验证（PoC）展示的Chrome零日漏洞。这包括：CVE-2025-2783、CVE-2025-4664、CVE-2025-5419、CVE-2025-6554和CVE-2025-6558。 为了防范潜在威胁，建议用户将他们的Chrome浏览器更新到Windows和苹果macOS的140.0.7339.185/.186版本，以及Linux的140.0.7339.185版本。为了确保安装了最新的更新，用户可以导航到更多>帮助>关于Google Chrome，并选择重新启动。 其他基于Chromium的浏览器用户，如微软Edge、Brave、Opera和Vivaldi，也建议在修复程序可用时尽快应用。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近期，名为 “Scattered Lapsus$ Hunters” 的网络犯罪团伙在 Telegram上宣称，已获取谷歌 执法请求系统（LERS ）及美国联邦调查局（FBI）电子背景调查系统的访问权限。 LERS是一个安全的在线门户，供经过验证的政府机构提交和跟踪针对用户数据的合法请求。该系统一方面帮助执法机构向谷歌申请所需信息，另一方面确保整个流程符合法定程序要求。 谷歌证实，威胁行为者通过创建虚假账号，成功获取LERS平台的访问权限，目前已将该账号停用。 谷歌指出，攻击者未通过该欺诈账号发起任何请求，同时强调 “未发生数据泄露”。然而，未经授权访问谷歌 LERS 仍存在多重风险：可能导致用户数据暴露、干扰正常执法调查、为欺诈性数据请求提供可乘之机，且会损害公众对该系统的信任。 而若 FBI 电子背景调查系统（eCheck）遭遇入侵，风险则包括个人记录与犯罪记录被盗、身份诈骗、背景调查结果被篡改，甚至对国家安全构成威胁。鉴于这两个系统的高度敏感性，必须建立强有力的安全防护措施，以保障用户隐私、数据完整性及机构公信力。 据悉，该威胁团伙最初通过社会工程学手段，诱骗企业员工将 Salesforce 数据加载器（Salesforce Data Loader）关联至公司账号，进而实施数据窃取与勒索。随后，他们入侵了 Salesloft 公司的 GitHub 代码仓库，使用 Trufflehog（一款敏感信息扫描工具）扫描代码，发现了 Drift（一款客户互动平台）的认证令牌，并利用该令牌进一步发起针对 Salesforce 的大规模数据窃取攻击。 此次 Salesforce 数据窃取攻击影响了多家大型企业客户，包括安联人寿、谷歌、Zscaler、Cloudflare、澳洲航空及帕洛阿尔托网络公司。 9 月 11 日，该团伙在 BreachForums [.] hn（一个数据泄露相关论坛）上发布 “告别” 信息，宣布将 “隐匿”。 团伙在留言中写道：“虚荣不过是转瞬即逝的胜利，操纵舆论也终究只是徒劳的自负。正因如此，我们决定，从今往后，沉默将成为我们的力量。”“未来，你或许会在其他数十家尚未披露数据泄露事件的十亿美元级企业，以及部分政府机构（包括安全级别极高的机构）的新数据泄露报告中看到我们的名字，但这并不意味着我们仍在活跃。司法程序将持续让警方、法官与记者忙碌不已。”   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文