HackerNews 编译，转载请注明出处： 微软发布紧急安全更新，修复 Windows 桌面窗口管理器（DWM）中的一处高危零日漏洞。 该漏洞编号为 CVE-2026-21519，目前已遭在野利用，攻击者可借此完全控制受影响系统。 桌面窗口管理器（dwm.exe）是 Windows 核心系统进程，负责在屏幕上渲染各类视觉效果。包括透明窗口、实时任务栏缩略图，以及高分辨率显示器支持。 由于该进程管理整个视觉界面，因此在所有现代 Windows 版本中都会在后台持续运行。这种逻辑不匹配会导致程序向错误的内存位置读写数据，引发系统崩溃，或在本漏洞中导致安全突破。 在 CVE-2026-21519 漏洞中，攻击者可利用该逻辑缺陷，诱骗桌面窗口管理器进程执行恶意代码。 由于桌面窗口管理器与操作系统内核深度交互，成功利用该漏洞可使本地攻击者将权限从普通用户提升至系统（SYSTEM）级别。 系统权限可提供完整的管理控制权，攻击者可安装程序、查看或删除数据，并创建拥有完全权限的新账户。 微软将该漏洞评级为 “重要”，CVSS 评分为 7.8 分，并在 2 月安全更新中完成修复。 尽管攻击者需要获得设备本地访问权限（即已登录或攻陷低权限账户），但攻击操作简单，且无需用户交互。 该漏洞影响大量 Windows 版本，包括： 鉴于该漏洞正遭主动利用，强烈建议用户与管理员立即安装 2026 年 2 月安全更新。 官方修复程序可通过 Windows 更新与微软更新目录获取。抵御该攻击必须安装操作系统补丁，目前暂无已知有效缓解措施。     消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种新型复杂网络威胁已出现，攻击者通过被攻陷的镜像网站与 GitHub 仓库，针对多操作系统用户发动攻击。 RU-APT-ChainReaver-L 攻击活动是近期发现的最精密供应链攻击之一，同时波及 Windows、macOS 与 iOS 平台。 该攻击活动运用多项先进技术，包括使用有效证书进行代码签名、欺骗性重定向链，以及通过合法云服务分发恶意软件，导致传统安全系统极难检测。 此次攻击的基础设施具备惊人的规模与复杂度。攻击者攻陷了两大主流文件共享镜像服务 Mirrored.to 与Mirrorace.org，二者被全球各类软件下载网站广泛使用。 通过向这些平台注入恶意代码，威胁行为者将受信任的基础设施转化为信息窃密恶意软件的投放渠道。 用户通过这些被攻陷的服务下载文件时，会经过多层中间页面重定向，此类设计可绕过安全检测，同时保持外观合法。 GRAPH 分析师在调查暗网市场中大量流出的用户凭据时，发现了该攻击活动。 研究团队将这些被盗账号溯源至一场已持续数月的协同式感染行动。 借助扩展检测与响应（XDR）平台与威胁狩猎行动，GRAPH 研究人员发现了涵盖超 100 个域名的攻击基础设施，包括命令与控制服务器、感染页面与重定向中介。 攻击运营者持续更新工具与基础设施，短时间内修改恶意软件特征码与投放方式，以规避杀毒软件检测。 攻击方式会根据受害者的操作系统有所不同。Windows 用户会被重定向至 MediaFire、Dropbox 等云存储服务，加密压缩包内包含带签名的恶意软件，可在安全软件面前伪装成合法程序。 macOS 受害者会遭遇 ClickFix 攻击，欺骗性页面诱骗用户手动执行终端命令，下载并安装 MacSync 窃密木马。 iOS 用户会被引导至苹果应用商店的虚假 VPN 应用，这些应用后续会对设备发起钓鱼攻击。 GitHub 滥用与恶意软件功能 该攻击对 GitHub 的利用，体现出攻击者对安全团队防御盲区的精准把握。 GRAPH 研究人员指出，攻击者攻陷了 50 个 GitHub 账号，其中多数为多年注册、有正常使用记录的账号，并用其托管恶意仓库。 这些账号大多在 2025 年 11 月被劫持，被用于分发破解软件与激活工具，专门针对搜索盗版软件的用户。 攻击流程（来源：GRAPH） Windows 端恶意软件为信息窃密程序，可截取屏幕、窃取加密货币钱包数据、聊天软件数据库、浏览器凭据，并复制桌面、文档、下载文件夹中的文件。 GRAPH 分析师指出，样本搭载来自多家企业的有效代码签名证书，大幅增加了检测难度。 MIRRORACE.org 供应链攻击（来源：GRAPH） macOS 版 MacSync 窃密木马采用无文件内存运行模式，可窃取浏览器数据、Ledger 与 Trezor 等加密货币钱包、SSH 密钥及 AWS 云凭证。 机构应部署全面的防御策略。攻击依托社会工程学实施，因此用户安全教育是最关键的防御环节。 安全团队应部署多层终端防护，包括可检测异常进程行为与可疑文件访问模式的 EDR 系统。 网络监控应重点关注与文件共享服务、新注册域名的连接。 机构应限制用户系统直接访问互联网，将下载流量引流至具备静态分析、动态分析与机器学习能力的文件分析平台。     消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员监测到一起大规模钓鱼攻击活动，该活动投放长期存在的 Phorpiex 恶意软件，所使用邮件的主题为 “您的文档”，这一诱骗手段在 2024 至 2025 年被广泛使用。 此类邮件包含看似无害的文档附件，实则为经过武器化改造的 Windows 快捷方式文件，用于启动多级感染链。 网络安全公司 Forcepoint 发布的最新公告显示，该攻击活动依托 Windows 快捷方式（.lnk）文件作为初始入侵向量的持续有效性，用于投放 Global Group 勒索软件 —— 这是一款具备隐蔽性、可离线运行的勒索软件即服务（RaaS）工具。 Windows 快捷方式诱骗手段为何经久不衰 Windows 快捷方式文件仍是将单次点击转化为代码执行的可靠途径。攻击者通过 Document.doc.lnk 这类双后缀形式伪装文件，并利用 Windows 系统默认隐藏已知文件后缀名的设置。 视觉伪装同样发挥作用，攻击者复制合法 Windows 资源中的图标，强化文件为可信文档的假象。 快捷方式文件被打开后会启动 cmd.exe，进而运行 PowerShell 下载并执行第二阶段载荷。攻击过程不会显示安装界面，也不会向用户弹出明显告警，可在后台静默运行。 该感染链流程简洁但效果显著： ·     钓鱼邮件提供形似文档的附件 ·     快捷方式通过 cmd.exe 执行内嵌指令 ·     PowerShell 下载远程载荷并保存为 windrv.exe ·     该二进制文件在本地执行，无任何用户可见提示 本次攻击中获取的载荷关联 Phorpiex 恶意软件，这是一款 2010 年左右活跃的模块化恶意软件即服务（MaaS）僵尸网络，常用于分发勒索软件及其他次生恶意程序。 Global Group 的离线勒索软件模式 在本次攻击中，Phorpiex 最终投放 Global Group 勒索软件，该软件与多数现代勒索软件家族不同，可完全离线运行。 该恶意软件在本地生成加密密钥，不连接命令与控制（C2）服务器，也不执行数据窃取操作。 该设计使其可在隔离或物理隔离环境中运行，同时减少对易触发告警的网络流量的依赖。 该勒索软件采用 ChaCha20-Poly1305 算法加密文件，并为文件添加.Reco 后缀。恶意软件会在系统内释放名为 README.Reco.txt 的赎金通知，并将桌面壁纸替换为 GLOBAL GROUP 相关信息。 该恶意软件执行后会自删除，并清除系统卷影副本，增加取证分析与数据恢复难度。 Forcepoint 表示：“本次攻击表明，Phorpiex 这类老牌恶意软件家族搭配简单可靠的钓鱼手段，仍能保持极高攻击效率。” “攻击者利用 Windows 快捷方式这类常见文件类型，可低阻力获取初始访问权限，进而顺利投放 Global Group 勒索软件等高危害载荷。”     消息来源：infosecurity-magazine.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一项新的ClickFix社会工程攻击活动正瞄准欧洲的酒店业，利用虚假的Windows蓝屏死机界面诱使用户在其系统上手动编译并执行恶意软件。 蓝屏死机是Windows操作系统遇到致命且无法恢复的错误导致系统停止时显示的崩溃界面。 在12月首次发现、并被Securonix研究人员追踪为”PHALT#BLYX”的新攻击活动中，冒充Booking.com的网络钓鱼邮件引发了一次部署恶意软件的ClickFix社会工程攻击。 ClickFix社会工程攻击是一种设计用于显示错误或问题，然后提供”修复”方案来解决该问题的网页。这些错误可能是虚假的错误消息、安全警告、验证码挑战或更新通知，指示访问者在其计算机上运行命令来解决问题。 受害者最终通过运行攻击者指令中提供的恶意PowerShell或Shell命令而感染自己的机器。 在这项新的ClickFix攻击活动中，攻击者发送冒充酒店客人取消Booking.com预订的网络钓鱼邮件，通常发送给酒店企业。声称的退款金额足够大，足以给邮件接收者制造一种紧迫感。 点击邮件中的链接会将受害者带到一个托管在’low-house[.]com’上的虚假Booking.com网站，Securonix将其描述为真实Booking.com网站的”高保真克隆”。 Securonix报告称：”该页面使用了Booking.com官方品牌元素，包括正确的配色方案、徽标和字体样式。在外行人看来，它与真实网站无法区分。” 该网站托管着恶意JavaScript，向目标显示虚假的”加载时间过长”错误，诱使他们点击按钮刷新页面。 然而，当目标点击该按钮时，浏览器会进入全屏模式并显示虚假的Windows蓝屏死机崩溃界面，从而启动ClickFix社会工程攻击。 该界面提示用户打开Windows”运行”对话框，然后按CTRL+V，这将粘贴已复制到Windows剪贴板的恶意命令。 接着提示用户按键盘上的”确定”按钮或Enter键来执行该命令。 真正的蓝屏死机消息不会提供恢复指令，只会显示错误代码和重启通知，但经验不足的用户或急于解决纠纷的酒店员工可能会忽略这些欺骗迹象。 粘贴提供的命令会运行一条PowerShell命令，该命令会打开一个诱饵性的Booking.com管理员页面。同时，在后台下载一个恶意的.NET项目（v.proj）并使用合法的Windows MSBuild.exe编译器进行编译。 执行时，该有效负载会添加Windows Defender排除项并触发用户账户控制提示以获取管理员权限，然后使用后台智能传输服务下载主要加载器，并通过在启动文件夹中放置.url文件来建立持久性。 该恶意软件是DCRAT，一种远程访问木马，通常被威胁行为者用于远程访问受感染设备。 该恶意软件使用进程空洞技术注入到合法的’aspnet_compiler.exe’进程中，并直接在内存中执行。 首次与命令与控制服务器联系时，恶意软件会发送其完整的系统指纹，然后等待执行命令。 它支持远程桌面功能、键盘记录、反向Shell以及在内存中执行额外有效负载。在Securonix观察到的案例中，攻击者投放了一个加密货币挖矿程序。 随着远程访问的建立，威胁行为者现在在目标网络中获得了立足点，使他们能够传播到其他设备、窃取数据并可能危害其他系统。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 名为Curly COMrades的威胁行为者被发现利用虚拟化技术绕过安全解决方案，执行定制恶意软件。 根据Bitdefender的最新报告，该威胁行为者会在选定的受害者系统上启用 Hyper-V 角色，部署一个精简版的阿尔派 Linux（Alpine Linux）虚拟机。 安全研究员在技术报告中表示：“这个隐藏环境占用资源极少，仅需 120MB 磁盘空间和 256MB 内存，托管着他们的定制反向 Shell 工具 CurlyShell，以及反向代理工具 CurlCat。” 这家罗马尼亚网络安全厂商于 2025 年 8 月首次记录到Curly COMrades的相关活动，其一系列攻击针对格鲁吉亚和摩尔多瓦。该活动集群被评估为自 2023 年底起持续活跃，其行动目标与俄罗斯的利益一致。 这些攻击会部署多种工具，包括用于双向数据传输的 CurlCat、用于持久远程访问的 RuRat、用于凭证窃取的 Mimikatz，以及一个名为 MucorAgent 的模块化.NET 植入程序，其早期版本可追溯至 2023 年 11 月。 在与格鲁吉亚计算机应急响应小组合作开展的后续分析中，研究人员发现了该威胁行为者使用的更多工具，同时发现他们试图通过在受感染的 Windows 10 主机上利用 Hyper-V 建立隐藏远程操作环境，以实现长期访问。 研究人员称：“通过将恶意软件及其执行环境隔离在虚拟机内，攻击者有效绕过了许多传统的主机端 EDR检测。该威胁行为者展现出维持反向代理能力的明确意图，不断向环境中引入新工具。” 除了使用 Resocks、Rsockstun、Ligolo-ng、CCProxy、Stunnel 和基于 SSH 的代理与隧道技术外，Curly COMrades还采用了其他多种工具，包括一个用于远程命令执行的 PowerShell 脚本，以及此前未被记录的 ELF 二进制文件 CurlyShell—— 该工具部署在虚拟机中，可提供持久反向 Shell。 这款恶意软件由 C++ 编写，以无头后台守护进程的形式执行，用于连接命令与控制（C2）服务器并启动反向 Shell，使威胁行为者能够运行加密命令。通信通过 HTTP GET 请求向服务器查询新命令，并通过 HTTP POST 请求将命令执行结果回传至服务器实现。 比特梵德表示：“两款定制恶意软件家族 ——CurlyShell 和 CurlCat 是此次活动的核心，它们共享大部分相同的代码库，但在接收数据的处理方式上存在差异：CurlyShell 直接执行命令，而 CurlCat 通过 SSH 转发流量。这些工具的部署与运行旨在确保灵活的控制能力和适应性。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员警告，Windows系统中默认启用的IPv6协议存在“休眠功能漏洞”，可能成为攻击者的后门。若企业未实际使用IPv6且未进行安全配置，该漏洞可导致整个域环境完全沦陷。 尽管IPv6尚未广泛部署，但Windows系统默认启用该协议且优先级高于旧版IPv4，这一特性引发严重安全隐患。网络安全公司Resecurity指出：攻击者只需控制网络中的任意设备（包括IoT设备），即可将其伪装成虚假配置服务器和DNS服务器。Windows计算机会优先信任这些恶意指令，覆盖现有IPv4配置。 研究人员披露：攻击者可通过此漏洞劫持计算机连接，实现重定向用户至恶意网站、窃取凭证，最终控制整个网络。此前，DNS劫持技术已被VK9 Security等安全机构详细分析。 攻击链：从初始入侵到完全控制 Resecurity在报告中描述攻击者实现域环境完全沦陷的步骤（攻击过程仅需数分钟）： 伪造DHCPv6服务器：攻击者利用开源渗透工具mitm6（可在GitHub获取），将任意设备（包括低性能Linux物联网设备）转变为恶意IPv6配置服务器。 DNS劫持与控制：劫持DNS后，攻击者可将用户重定向至钓鱼网站，同时定位域控制器并截获用户访问网络资源时的登录凭证。 权限升级与域控接管：攻击者向域控制器中继窃取的凭证（NTLM认证信息），冒充特权用户创建恶意账户，最终获得在活动目录中执行任意命令的权限。 （图片由Resecurity提供） 技术本质与防御建议 该技术被命名为MITM6 + NTLM中继攻击，结合中间人劫持与权限提升手法。Resecurity强调：“此攻击是教科书级案例，展示微小配置疏忽如何引发活动目录的全面沦陷。” 关键缓解措施： 禁用未使用的IPv6：在未部署IPv6的环境中彻底关闭该协议，从源头消除攻击面。 部署网络层防护：在交换机和路由器启用RA Guard/DHCPv6 Guard功能，拦截非法IPv6通告及恶意DHCP服务器。 强化活动目录配置：设置ms-DS-MachineAccountQuota=0阻止非法创建计算机账户；强制启用SMB/LDAP签名防止中继攻击。 持续监控异常：检测非常规IPv6流量、异常网关变更及未经授权的DNS服务器更新。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软正式宣布将淘汰沿用四十余年的经典“蓝屏死机”（Blue Screen of Death）界面，代之以黑色背景的错误提示。这一变革源于去年CrowdStrike事件引发全球数百万Windows设备崩溃的教训，旨在提升系统恢复能力。 “如今应对意外重启和加速恢复变得前所未有的便捷”，微软在公告中强调。作为系统韧性升级计划的核心举措，公司正“简化”用户遭遇意外重启时的体验，为此彻底重构了故障界面。 新界面核心变更 视觉革新：标志性蓝色背景替换为纯黑底色，移除皱眉表情符号。 信息精简：错误提示文本大幅缩短，新增实时显示的进度百分比条，直观呈现重启进程。 功能升级：配套推出“快速机器恢复”（Quick Machine Recovery）机制，可在设备无法启动时通过Windows Update实施定向修复。该技术能自动化部署解决方案，无需IT人员手动干预，特别适用于大规模故障场景。 简化版错误界面将于今夏随Windows 11 24H2版本全面推送。快速恢复机制同步上线，更多扩展功能预计年底前陆续推出。 此次设计变革与微软“Windows弹性计划”（Windows Resiliency Initiative）深度关联。该计划通过将安全软件移出内核层运行，显著降低系统崩溃风险。2024年CrowdStrike事件导致全球850万台设备蓝屏瘫痪，直接推动此次架构重构。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员警告称，近期出现的新型远程访问木马（RAT）“Chaos RAT”变种正针对Windows和Linux系统发起攻击。根据Acronis的研究，攻击者通过诱骗受害者下载伪装成Linux网络故障排查工具的恶意软件进行传播。 安全研究人员Santiago Pontiroli、Gabor Molnar和Kirill Antonenko在报告中指出：“Chaos RAT是用Golang编写的开源RAT，支持跨平台的Windows和Linux系统。该工具借鉴了Cobalt Strike和Sliver等流行框架，提供可构建载荷、建立会话并控制受感染设备的管理面板”。 虽然这款“远程管理工具”的开发始于2017年，但其真正引起关注是在2022年12月——当时攻击者利用它针对托管Linux系统的公开Web应用程序发起恶意活动，部署XMRig加密货币挖矿程序。该恶意软件安装后会连接外部服务器，接收包括启动反向Shell、上传/下载/删除文件、枚举文件目录、截取屏幕截图、收集系统信息、锁定/重启/关闭设备以及打开任意URL等指令。最新5.0.3版本已于2024年5月31日发布。 Acronis发现Linux变种已出现在真实攻击中，多与加密货币挖矿活动关联。攻击链显示黑客通过包含恶意链接或附件的钓鱼邮件传播Chaos RAT。这些恶意文件会投放修改任务调度程序脚本，通过定期获取恶意软件实现持久化驻留。 早期攻击活动曾用此技术分别投放加密货币矿工和Chaos RAT，表明后者主要用于受感染设备的侦察和信息收集。对2025年1月上传至VirusTotal的样本分析显示，攻击者可能将恶意软件伪装成Linux网络故障排查工具诱导用户下载。 该木马的管理面板（用于构建载荷和控制受感染设备）被曝存在命令注入漏洞（CVE-2024-30850，CVSS 8.8分），可与跨站脚本漏洞（CVE-2024-31839，CVSS 4.8分）组合使用，实现服务器端特权提升的任意代码执行。维护者已于2024年5月修复这两个漏洞。 尽管幕后黑手尚未明确，但事件再次表明攻击者持续将开源工具武器化以混淆溯源。研究人员强调：“开发者工具可能迅速演变为攻击者的首选武器。公开渠道获取的恶意软件让APT组织隐匿于日常网络犯罪噪音中。开源恶意软件提供可快速定制部署的‘足够有效’工具包，当多个组织使用相同工具时，会极大干扰攻击溯源”。 该披露恰逢针对桌面版Trust Wallet用户的新攻击活动——攻击者通过欺骗性下载链接、钓鱼邮件或捆绑软件分发伪造版本，旨在窃取浏览器凭证、提取桌面钱包及浏览器扩展数据、执行命令并实施剪贴板劫持。安全研究员Kedar S Pandit指出：“该恶意软件安装后可扫描钱包文件、劫持剪贴板数据或监控浏览器会话以窃取助记词及私钥”。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软发布了安全修复程序，解决了影响其软件产品的 126 个漏洞，其中包括一个正在被积极利用的漏洞。 在 126 个漏洞中，11 个被评为关键漏洞，112 个被评为重要漏洞，2 个被评为低严重性漏洞。其中，49 个漏洞被分类为权限提升漏洞，34 个为远程代码执行漏洞，16 个为信息泄露漏洞，14 个为拒绝服务（DoS）漏洞。   此次更新不包括该公司自上个月发布补丁星期二更新以来，在基于 Chromium 的 Edge 浏览器中修复的 22 个漏洞。   正在遭受攻击的漏洞是一个影响 Windows 公共日志文件系统（CLFS）驱动程序的权限提升（EoP）漏洞（CVE-2025-29824，CVSS 评分：7.8），该漏洞源于一个释放后使用场景，允许授权攻击者在本地提升权限。   自 2022 年以来，CVE-2025-29824 是在同一组件中发现的第六个被利用的 EoP 漏洞，其他漏洞包括 CVE-2022-24521、CVE-2022-37969、CVE-2023-23376、CVE-2023-28252 和 CVE-2024-49138（CVSS 评分：7.8）。   “从攻击者的角度来看，被攻陷后的活动需要获得必要的权限，以便在被攻陷的系统上进行后续活动，例如横向移动，”Tenable 高级研究工程师 Satnam Narang 表示。   “因此，权限提升漏洞在针对性攻击中通常很受欢迎。然而，近年来，CLFS 中的权限提升漏洞在勒索软件运营者中变得特别受欢迎。”   Action1 总裁兼联合创始人 Mike Walters 表示，该漏洞允许权限提升至 SYSTEM 级别，从而使攻击者能够安装恶意软件、修改系统设置、篡改安全功能、访问敏感数据并保持持久访问权限。   “这个漏洞特别令人担忧的是，微软已确认该漏洞在野外被积极利用，但目前尚未为 Windows 10 32 位或 64 位系统发布补丁，”Immersive 首席网络安全工程师 Ben McCarthy 表示。“补丁的缺失为 Windows 生态系统的大部分留下了一个关键的防御缺口。”   “在某些内存操作条件下，可以触发释放后使用漏洞，攻击者可以利用该漏洞在 Windows 中以最高权限级别执行代码。重要的是，攻击者不需要管理员权限即可利用该漏洞——只需要本地访问权限。”   根据微软的说法，该漏洞的积极利用与针对少数目标的勒索软件攻击有关。这一发展促使美国网络安全与基础设施安全局（CISA）将其添加到已知被利用漏洞（KEV）目录中，要求联邦机构在 2025 年 4 月 29 日之前应用修复程序。   本月微软修复的其他一些值得注意的漏洞包括影响 Windows Kerberos 的安全功能绕过（SFB）漏洞（CVE-2025-29809），以及 Windows 远程桌面服务（CVE-2025-27480、CVE-2025-27482）和 Windows 轻量级目录访问协议（CVE-2025-26663、CVE-2025-26670）中的远程代码执行漏洞。   同样值得注意的是，Microsoft Office 和 Excel 中的多个关键严重性远程代码执行漏洞（CVE-2025-29791、CVE-2025-27749、CVE-2025-27748、CVE-2025-27745 和 CVE-2025-27752），这些漏洞可能被攻击者利用，通过特制的 Excel 文档实现对系统的完全控制。   关键漏洞列表还包括影响 Windows TCP/IP（CVE-2025-26686）和 Windows Hyper-V（CVE-2025-27491）的两个远程代码执行漏洞，这些漏洞可能允许攻击者在某些条件下通过网络执行代码。   值得注意的是，一些漏洞尚未为 Windows 10 推出补丁。微软表示，更新将“尽快发布，当它们可用时，客户将通过此 CVE 信息的修订版收到通知。”   其他厂商的软件补丁 除了微软，其他厂商在过去几周也发布了安全更新，以修复多个漏洞，包括：   – Adobe   – Amazon Web Services   – AMD   – Apache Parquet   – Apple   – Arm   – ASUS   – Bitdefender   – Broadcom（包括 VMware）   – Canon   – Cisco   – CrushFTP   – Dell   – Drupal   – F5   – Fortinet   – GitLab   – Google Android   – Google Chrome   – Google Cloud   – Hitachi Energy   – HP   – HP Enterprise（包括 Aruba Networking）   – Huawei   – IBM   – Ivanti   – Jenkins   – Juniper Networks   – Lenovo   – Linux 发行版（Amazon Linux、Debian、Oracle Linux、Red Hat、Rocky Linux、SUSE 和 Ubuntu）   – MediaTek   – Meta WhatsApp   – Minio   – Mitel   – Mitsubishi Electric   – MongoDB   – Moxa   – Mozilla Firefox、Firefox ESR 和 Thunderbird   – QNAP   – Qualcomm   – Rockwell Automation   – Salesforce   – Samsung   – SAP   – Schneider Electric   – Siemens   – SonicWall   – Sophos   – Splunk   – Spring Framework   – Synology   – WordPress   – Zoho ManageEngine   – Zoom   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Meta 警告 Windows 用户更新 WhatsApp 消息应用至最新版本，以修复一个可让攻击者在设备上执行恶意代码的漏洞。 该漏洞被描述为一个欺骗问题，追踪编号为 CVE-2025-30401，攻击者可通过向潜在目标发送带有篡改文件类型的恶意文件来利用此安全漏洞。 Meta 表示，该漏洞影响了所有 WhatsApp 版本，并已通过发布 WhatsApp 2.2450.6 修复。 “在 WhatsApp for Windows 版本 2.2450.6 之前，附件会根据其 MIME 类型显示，但选择文件打开处理程序是基于附件的文件名扩展名，”WhatsApp 在周二的公告中解释道。“恶意构造的不匹配可能导致收件人在 WhatsApp 内手动打开附件时，意外执行任意代码而非查看附件。” Meta 表示，一位外部研究人员通过 Meta Bug Bounty 提交发现了该漏洞。该公司尚未分享 CVE-2025-30401 是否在野外被利用的信息。 2024 年 7 月，WhatsApp 解决了一个类似的问题，即当收件人在安装了 Python 的 Windows 设备上打开时，Python 和 PHP 附件可在无警告的情况下执行。 常被间谍软件攻击的目标 最近，在多伦多大学公民实验室的安全研究人员报告后，WhatsApp 还修复了一个被利用来安装 Paragon Graphite 间谍软件的零点击、零日安全漏洞。 该公司表示，去年年底已解决了攻击向量，“无需客户端修复”，并在“审查了 MITRE 发布的 CVE 指南和自身的内部政策后”决定不分配 CVE 编号。 1 月 31 日，在服务器端缓解了安全问题后，WhatsApp 通知了来自 20 多个国家的约 90 名 Android 用户，包括意大利记者和活动家，他们成为了使用零点击漏洞的 Paragon 间谍软件攻击的目标。 去年 12 月，美国联邦法官裁定，以色列间谍软件制造商 NSO Group 利用 WhatsApp 零日漏洞在至少 1,400 台设备上部署了 Pegasus 间谍软件，从而违反了美国的黑客法律。 法院文件显示，NSO 据称利用多个零日漏洞通过 WhatsApp 漏洞部署 Pegasus 间谍软件，其开发人员还逆向工程了 WhatsApp 的代码，以创建发送恶意消息的工具，从而安装间谍软件，违反了联邦和州法律。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文