HackerNews 编译，转载请注明出处： 苹果公司紧急修复了影响iOS、iPadOS和macOS系统的安全漏洞CVE-2025-43300。该零日漏洞已被黑客在真实攻击中利用，其本质是ImageIO图像处理框架中的越界写入漏洞。攻击者可通过构造恶意图片文件触发内存损坏。 苹果在安全公告中指出：“处理恶意图像文件可能导致内存损坏。苹果确认收到报告，显示该漏洞可能已被用于针对特定目标的极其复杂攻击。”公司已通过改进边界检查机制修复该问题。 以下系统版本包含漏洞修复补丁： iOS 18.6.2与iPadOS 18.6.2：适用于iPhone XS及后续机型、13英寸iPad Pro、12.9英寸iPad Pro（第3代及后续）、11英寸iPad Pro（第1代及后续）、iPad Air（第3代及后续）、iPad（第7代及后续）、iPad mini（第5代及后续） iPadOS 17.7.10：适用于12.9英寸iPad Pro（第2代）、10.5英寸iPad Pro及第6代iPad macOS Ventura 13.7.8：适用于运行Ventura系统的Mac设备 macOS Sonoma 14.7.8：适用于运行Sonoma系统的Mac设备 macOS Sequoia 15.6.1：适用于运行Sequoia系统的Mac设备 苹果未透露漏洞攻击的技术细节。此次修复使苹果2025年已修补的实战利用零日漏洞数量增至七个，此前修复的漏洞包括：CVE-2025-24085、CVE-2025-24200、CVE-2025-24201、CVE-2025-31200、CVE-2025-31201及CVE-2025-43200。         消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 比利时电信运营商Orange于8月21日披露，7月底发现一起网络攻击事件，导致85万个客户账户的数据遭泄露。 该比利时子公司声明“关键数据未受侵害：密码、电子邮箱地址、银行或财务信息均未被黑客获取”，但警告称：“黑客入侵了包含以下数据的IT系统：姓名、电话号码、SIM卡号、PUK码及资费套餐。”公司解释称，PUK码（个人解锁密钥）是8位安全码，当客户多次输入错误PIN码时可用来解锁SIM卡。 公司未立即回应关于事件发现与披露时间的质询，但在声明中表示，团队在发现问题后“立即封锁受影响系统的访问权限并强化安全措施”。声明补充道：“比利时Orange已向相关部门报警，并向司法机构提交正式投诉。” 此次攻击发生前，其母公司Orange集团于7月25日曾发现影响内部系统的网络攻击。当时Orange集团表示无证据显示客户数据被窃取。Orange未说明两起事件是否关联，也未更新此前声明。两次攻击的具体性质均未公开。 官方声明称，受影响客户将通过短信和邮件收到通知，并敦促其警惕专用网页上提示的钓鱼攻击风险。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦调查局（FBI）和思科公司警告称，俄罗斯网络间谍组织正通过2018年发现的漏洞，持续针对未打补丁的思科网络设备发起攻击。 FBI与思科Talos部门于周三发布的联合公告指出，俄罗斯联邦安全局（FSB）第16中心的黑客组织利用漏洞 CVE-2018-0171，攻击已进入生命周期结束状态的设备，入侵目标涵盖北美、亚洲、非洲和欧洲的电信、高等教育及制造业组织。 思科Talos表示，该活动背后的组织（安全专家称为Static Tundra、Berserk Bear或Dragonfly）多年来通过思科IOS和IOS XE软件的智能安装（Smart Install）功能中未修复的漏洞入侵设备，这些设备通常因达到生命周期结束状态而无法获得补丁更新。 思科Talos指出，受害者多“基于对俄罗斯政府的战略利益价值”被选定，其中部分位于乌克兰。该机构警告称，随着俄罗斯战略利益变化，该组织很可能持续针对乌克兰及其盟国。“我们观察到最明显的目标转变是：俄乌战争爆发后，Static Tundra对乌克兰实体的攻击急剧升级并维持高位。”他们表示，“与此前有限的针对性入侵不同，该组织已渗透乌克兰多个垂直领域的机构。” FBI称，过去一年中观察到该组织加速收集“数千台美国关键基础设施领域网络设备的配置文件”。黑客修改了部分设备的配置文件以维持对受害者系统的长期访问权限，并开展侦察活动——多数聚焦“与工业控制系统（ICS）相关的协议和应用”。 FBI认同思科的评估，即Static Tundra十余年来持续攻击同类系统，并开发定制化工具针对思科设备，包括名为SYNful Knock的恶意软件。思科Talos已发布可检测该恶意植入脚本的工具。 上周，挪威警察安全局（PST）表示，4月该国西南部一座水坝疑似遭亲俄黑客破坏——入侵控制系统后开启阀门长达四小时，大量洪水涌入里瑟尔瓦河，直至操作员重新夺回控制权。 长期渗透战略 思科Talos分析，Static Tundra的核心目标是窃取数据并建立对系统的持久访问权。该组织以“入侵受害者网络后进一步渗透并控制更多网络设备”而闻名，具备“在目标环境中潜伏多年不被发现”的能力。 “我们判断，此活动的目的是大规模窃取设备配置信息，以便根据俄罗斯政府当前的战略目标与利益需求灵活调用。”思科Talos专家解释，“Static Tundra随俄罗斯优先事项变化而调整攻击重点的行为印证了这一点。”研究人员补充称，该组织很可能利用Shodan和Censys等网络扫描服务寻找目标。 2021年，美国司法部起诉四名被控隶属Static Tundra的俄罗斯公民，指控其主导针对全球能源公司的黑客活动。这些人员专门瞄准工业技术系统：2012至2014年，他们入侵多家工业控制系统制造商与软件供应商，将Havex恶意软件植入网络。司法部指出，2014至2017年间，该组织针对“特定能源实体及从事工业系统的工程师”，波及全球136个国家超过500家企业和机构的3300余名用户，包括美国核管理委员会等政府机构。 该组织曾通过钓鱼邮件成功入侵堪萨斯州沃尔夫溪核运营公司的商业系统，并采用“水坑攻击”窃取能源领域工程师的登录凭证。思科Talos强调，除俄罗斯组织外，其他国家级黑客团体“很可能也在开展类似的网络设备入侵活动”，建议客户尽快修补漏洞、禁用智能安装功能或联系其获取协助。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在俄罗斯今年举行胜利日阅兵之际，支持克里姆林宫的黑客劫持了一颗为乌克兰提供电视服务的在轨卫星。乌克兰观众看到的不是常规节目，而是从莫斯科传输的阅兵画面：坦克、士兵和武器组成的洪流。这一威慑性信息表明，21世纪的战争不仅发生在陆地、海洋和空中，还延伸至网络空间和外层空间。 卫星：短期内的安全挑战 禁用卫星无需一枪一弹即可造成毁灭性打击——通过攻击卫星安全软件或干扰其与地球的信号传输即可实现。专注于供应链安全的网络安全公司NetRise首席执行官汤姆·佩斯（Tom Pace）指出：“若能阻碍卫星通信能力，就能引发重大混乱。”曾在能源部处理网络事务的海军陆战队退伍军人佩斯补充道：“想想全球定位系统（GPS），若民众失去它，混乱将难以想象。” 目前有超过1.2万颗运行中的卫星环绕地球，它们不仅在广播通信中扮演关键角色，还支撑着军事行动、GPS等导航系统、情报收集和经济供应链。卫星还是导弹发射早期预警的核心，对国家安全构成重大隐患，因而成为削弱对手经济或战备能力的主要目标。支持俄罗斯的黑客劫持乌克兰电视信号，正是此类心理威慑的典型案例。 攻击卫星的薄弱环节 黑客通常瞄准卫星或其与地球通信的软硬件中最脆弱的部分。尽管在轨设备本身可能安全，但过时的软件仍易被利用。2022年俄罗斯入侵乌克兰期间，黑客针对乌克兰政府和军方使用的美国卫星公司Viasat发起攻击。此次被基辅归咎于莫斯科的袭击，通过恶意软件感染数万台调制解调器，导致欧洲大片区域服务中断。 太空核武器威胁 美国国家安全官员透露，俄罗斯正在研发一种基于太空的核武器，旨在一次性摧毁几乎所有低地球轨道卫星。该武器结合物理攻击与核组件：物理冲击波将摧毁更多卫星，而核组件则烧毁其电子系统。美国俄亥俄州共和党众议员迈克·特纳（Mike Turner）公开警告该技术后，美方解密了相关信息。特纳强调，若部署此类武器将违反禁止在太空部署大规模杀伤性武器的国际条约，并可能使低地球轨道长达一年无法使用，导致美国及其盟友面临经济动荡甚至核打击风险。尽管中俄也将损失卫星，但两国对同类卫星的依赖度较低。 特纳将这种尚未部署的武器比作1957年开启太空时代的苏联卫星“斯普特尼克”，并警告：“若此类反卫星核武器进入太空，将是太空时代的终结。这堪比太空版的古巴导弹危机。” 月球资源争夺战 月球和小行星上发现的珍贵矿物可能引发未来冲突，各国正竞相开发新技术和能源。美国国家航空航天局（NASA）代理局长肖恩·达菲（Sean Duffy）本月宣布将向月球运送小型核反应堆，强调需“赶在中国或俄罗斯之前抵达”。月球富含氦-3，科学家认为其可用于核聚变产生巨量能源。伦敦网络安全专家约瑟夫·鲁克（Joseph Rooke）指出，尽管该技术需数十年成熟，但在此期间对月球的控制权将决定新兴超级大国的地位。 中俄已宣布未来几年在月球建设核电站的计划，而美国正推进登月及火星任务。人工智能和能源需求可能加速这场竞赛。俄罗斯驻美使馆未回应置评请求。中国驻美使馆发言人刘鹏宇表示，中国“反对任何地外军备竞赛”，并指责美国“持续扩张太空军力，企图将太空变为战场”。 美国的太空安全应对 各国正争相建立火箭和太空计划以减少对外国卫星的依赖。2019年成立的美国太空军旨在保护美国太空利益及卫星安全。尽管规模小于陆军、海军或空军，但其正在扩张。美军操作的无人驾驶太空飞机X-37B近期结束超过一年的在轨机密任务返回地球。太空军声明强调：“太空是作战域，太空军的职责是通过掌控该领域实现国家安全目标。” 美国在冷战后的太空主导地位如今面临中俄的新威胁。特纳表示，美国必须采取行动阻止中俄取得优势，避免太空武器的恐怖前景成为现实。“我们必须密切关注，防患于未然。”       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据“我被挂了吗”（Have I Been Pwned）平台的最新数据，安联人寿（Allianz Life）7月遭遇的网络攻击导致约110万客户的个人信息泄露。此次攻击针对云端客户关系管理（CRM）系统，是广泛针对Salesforce托管数据库企业的大规模攻击活动的一部分。 安联人寿（德国安联集团美国子公司）表示，黑客获取了其140万客户中“大部分” 人员的数据，包括客户、金融专业人士及员工的信息。该公司确认攻击者窃取了个人详细资料，但当时未提供具体数字。 “我被挂了吗”平台披露的泄露数据类型包括： 姓名 出生日期 性别 电子邮箱地址 电话号码 家庭住址 安联人寿在向州政府提交的文件中还证实，社会安全号码（SSN） 同样被窃取。 “此次110万客户的敏感信息泄露影响重大，”ThreatAware首席执行官乔恩·阿博特（Jon Abbott）表示，“CRM工具存储的高价值信息正是攻击者的目标，这些数据可被其他犯罪分子用于身份盗窃和钓鱼攻击。” 攻击关联ShinyHunters组织 安全研究人员将事件归因于黑客组织ShinyHunters。该组织近期还入侵了谷歌、澳洲航空（Qantas）、Workday及多个零售品牌的Salesforce系统，以通过社会工程手段诱骗员工提供未授权访问而闻名。 “ShinyHunters等组织依赖快速推进的社会工程策略——通常通过致电或邮件威胁受害企业员工，若勒索未果则建立泄露网站施压支付赎金，”阿博特补充道。 调查显示，攻击者通过恶意OAuth应用渗透Salesforce实例后下载企业数据库。安联案例中，泄露文件据称包含数百万条记录，涉及投保人、顾问及合作机构。 企业响应与行业影响 安联人寿以调查仍在进行为由未回应最新发现，但承诺为受影响个人提供两年免费身份监控服务。 阿博特强调：“ShinyHunters的攻击模式凸显了基础安全措施的重要性，包括准确的资产清单、防篡改的身份验证和强化的服务台流程。” 安联人寿数据泄露是今年系列重大事件中的最新一起，加剧了金融和科技行业对广泛使用的云端系统安全性的担忧。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 纽约州商业委员会（Business Council of New York State）遭遇网络攻击，导致黑客窃取了超过4.7万人的敏感信息。 该商业倡导组织向多个州的监管机构报告称，其在今年2月遭受了网络攻击。 调查于8月4日完成，结果显示47,329人的部分信息遭到泄露，包括姓名、社会安全号码、州身份证号码、金融账户及路由号码、支付卡号、PIN码、有效期、纳税人识别号码以及电子签名信息等不同组合。 部分人员的重要医疗数据也被泄露，涉及诊断、处方、治疗和手术信息以及健康保险详情。 纽约州商业委员会与全州3000余家组织合作，成员包括IBM、柯达等大型企业及小型公司，雇员总数超过120万人。 该组织表示，其在州议会中游说维护商业利益，并推动经济发展。许多成员还使用该组织提供的团体保险计划。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加拿大金融监管机构披露了一起网络安全事件，导致会员公司及其员工的个人信息遭到泄露。 加拿大投资监管组织（CIRO）作为覆盖全国投资交易商、互惠基金交易商及债务与股权市场交易活动的自律监管机构，于8月11日发现该网络安全威胁。为应对此事件，该机构已主动关闭部分系统以确保安全，并启动调查以确定攻击者的活动范围。 初步调查表明，威胁行为者已获取部分会员公司及其注册员工的个人信息。CIRO在8月18日的公告中表示：“鉴于CIRO对自身及会员机构设定的高标准安全要求，我们对此深感忧虑。当前首要任务是积极排查受影响个体，确认后将直接通知相关人员并提供风险缓释服务”。 目前尚未透露具体泄露数据细节，CIRO承诺将适时更新进展。该机构警示会员警惕冒充监管者的可疑来电或邮件，切勿泄露个人及财务信息。 投资者资金安全 CIRO特别强调，此次事件不会危及加拿大民众的投资安全。“若调查发现投资者信息受影响，我们将直接通知当事人并提供风险缓释服务”。 此次调查由外部网络安全专家、法律团队及执法部门协同推进。关键市场监控功能仍正常运行，股权交易实时监管未受影响。 CIRO成立于2023年，负责制定投资及交易机构的监管标准，有权对违规实体实施罚款等处罚措施。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客论坛近期出现一份据称包含1580万组PayPal凭证的数据集，内含登录邮箱及明文密码。发帖者宣称数据为近期获取，但PayPal官方否认存在系统入侵。 该数据发布于知名泄密论坛，广告发布者声称数据集涵盖数百万组PayPal邮箱与密码凭证。PayPal公司代表向Cybernews声明：”没有发生数据泄露——这与2022年事件相关而非新事件”。 攻击方数据泄露主张 发帖者声称数据于今年5月获取，泄露细节包含： 登录邮箱 明文密码 关联URL 变体信息 攻击方宣称数据集覆盖全球大量PayPal账户。若属实，将使用户面临严重风险：泄露凭证可直接用于账户登录，虽多数用户启用多因素认证（MFA），但凭证泄露仍会突破首道防线；关联URL更直接指向相关服务入口。攻击方提供的样本显示数据结构支持自动化撞库攻击。 发帖者承认数据含”数千组独特高强度”密码，但存在重复使用现象，这意味着实际可利用数据量可能低于其宣称规模。 争议焦点与验证 Cybernews研究团队核查后表示：样本规模过小无法验证有效性，且若数据确为5月窃取，有效信息或已被利用。值得注意的是，所谓海量数据仅标价750美元，与宣称价值严重不符。 PayPal历史上从未发生大规模系统入侵，暗示数据可能通过其他途径获取。信息窃取恶意软件（Infostealer）是可能来源——这类恶意软件获取的数据通常按URL、登录详情、密码的结构存储，与本次泄露数据结构高度吻合。 背景关联 2022年12月PayPal曾遭撞库攻击，3.5万账户信息泄露。2025年初公司因未遵守纽约州网络安全法规支付200万美元和解金。此次论坛兜售事件中，攻击方特别标注”2025年全球PayPal凭证库”字样，但数据特征显示其更可能源自受感染设备采集的登录凭证，或为恶意软件窃取的浏览器保存密码。 信息窃取恶意软件运作机制 这类恶意软件通过可疑链接、伪造程序或恶意附件渗透设备，隐蔽窃取：浏览器保存密码、自动填充信息、Cookies、信用卡号及加密钱包密钥。得手后立即将数据传输给攻击者，部分变种可自删除痕迹。当前RedLine、Raccoon等窃密工具在暗网泛滥，且已出现针对macOS和Android系统的变种。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据加拿大广播公司报道，黑客利用近期微软漏洞入侵加拿大国会下议院并窃取数据。威胁行为者通过新披露的微软安全漏洞侵入加拿大国会下议院系统。 国会下议院及加拿大网络安全机构正在调查这起重大数据泄露事件，该事件针对雇员信息。国会下议院本周一通过内部邮件向员工通报信息泄露事件，称恶意攻击者利用近期微软漏洞非法访问了用于管理计算机及移动设备的数据库。 入侵者获取的数据库包含雇员姓名、职位、办公地点、电子邮箱，以及国会配发的计算机与移动设备信息。加拿大通信安全机构已获悉此事并协助调查，目前攻击者身份尚未确认。该机构将“威胁行为者”定义为任何意图非法访问或破坏数据、设备及网络的恶意人员。 加拿大通信安全机构最新报告指出，俄罗斯和伊朗日益将加拿大作为攻击目标，但本次事件归因尚未明确。攻击发生于上周五，泄露数据可能被用于诈骗或身份冒用。 此次入侵可能与近期被利用的微软SharePoint零日漏洞（编号CVE-2025-53770）相关，但具体漏洞细节未公开。工作人员及议员被要求警惕诈骗行为，官方未对攻击者进行归因。 微软七月曾警告，该SharePoint本地服务器漏洞（CVSS评分9.8）存在未经验证数据的反序列化风险，未经授权的攻击者可利用其在网络上执行代码。越南军信安公司通过趋势科技零日计划报告此漏洞。微软确认“CVE-2025-53770漏洞的利用代码已在野出现”，正在测试完整修复补丁，建议用户立即实施缓解措施。 加拿大面临来自犯罪集团和国家行为体的网络威胁持续增长，过去两年事件激增。国家级攻击者愈发猖獗，牟利型罪犯则利用非法工具及人工智能技术。 近期针对加拿大关键基础设施的攻击频发： 2025年4月：电力公司新斯科舍电力及母公司Emera遭攻击导致IT系统中断 2025年6月：西捷航空遭攻击影响内部系统及应用程序 2023年9月：加拿大航空员工个人信息因网络攻击泄露 2023年6月：森科能源遭袭导致加拿大石油加油站支付系统瘫痪       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 数百万网站表面采用现代安全协议，实则仍在代理链中降级至陈旧的HTTP/1.1协议。安全研究人员警告，黑客可利用该协议固有缺陷完全接管这些网站。 当用户访问网站时，其HTTP请求需经过反向代理、负载均衡器等组件转发至目标服务器。应用安全软件商PortSwigger发现，逾2400万网站在请求路径中仍使用“古老”的HTTP/1.1协议。黑客可通过请求走私（request smuggling）手段，将恶意代码植入合法用户请求以完全控制网站。 “HTTP/1.1存在致命且极易利用的缺陷——请求间边界极度脆弱。所有请求在底层TCP/TLS套接字上直接串联，既无分隔符又存在多种长度定义方式。攻击者可借此制造请求起始位置的严重歧义。”最新研究报告指出。更令人担忧的是，多数主流云服务商内部仍默认使用HTTP/1.1。即便Google或Cloudflare的管理员也需手动配置才能实现全链路HTTP/2。Nginx、Akamai、CloudFront和Fastly等软件尚未支持HTTP/2上游连接。 PortSwigger研究总监詹姆斯·凯特尔指出，该漏洞波及多数成熟且注重安全的机构。他在黑帽大会和DEF CON披露的协议缺陷已为其赢得超35万美元漏洞赏金。“若想建立安全网络，HTTP/1.1必须淘汰，”其强调，“单个恶意请求即可导致网站混淆响应归属，引发大规模敏感数据泄露，通常表现为用户被随机登录至他人账户。” 攻击者还可通过恶意JavaScript污染网站缓存，持久控制用户访问的每个页面，实现流量劫持、密码窃取或信用卡信息盗用等操作。研究人员曾两度利用请求走私技术攻破PayPal，窃取用户明文密码，仅此漏洞就获3.9万美元赏金。 攻击原理剖析 凯特尔解释，反向代理通常将不同用户请求通过共享连接池路由至后端服务器。只要攻击者在服务器链中发现“最微小的解析逻辑偏差”，即可引发去同步化（desync），将恶意载荷附加至其他用户请求中。“这导致攻击者请求与合法用户请求相互混杂。” 请求分隔缺陷是该协议的“致命伤”。HTTP/1.1作为古老的文本协议，具有宽松规范与数千种实现方式，寻找解析差异点并非难事。“此类攻击利用两个服务器（通常为前端代理与后端服务器）对同一请求的解析差异，使攻击者能将恶意请求’走私’至后端服务器，进而危害其他应用用户。” 例如，HTTP请求可同时包含定义字节总量的”Content-Length”标头，以及指示分块传输的“Transfer-Encoding: chunked”标头。不同服务器对同一请求的解析结果可能截然不同。攻击者通过构造含矛盾标头的畸形请求，使一台服务器认为请求已结束，而另一台仍等待更多数据，从而将恶意代码预置到合法用户请求前。 凯特尔认为该协议缺陷无法简单修补：“时间证明我们无法通过补丁拯救HTTP/1.1——更多漏洞正在路上。”虽然无代理环节时HTTP/1.1仍可安全使用，但现实场景极少满足此条件。其敦促企业升级至HTTP/2上游连接，该协议通过明确请求边界使去同步漏洞大幅减少。若无法升级，管理员需严格配置服务器以验证并拒绝歧义请求，同时定期扫描漏洞。研究人员已开源自动化检测工具HTTP Request Smuggler v3.0，可探测多种高级去同步攻击技术。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文