HackerNews 编译，转载请注明出处：

日本汽车制造商马自达株式会社（Mazda）近日披露，去年12月发现的一起安全事件导致员工及合作伙伴信息外泄。

作为日本最大汽车制造商之一，马自达年产车辆120万台，年收入近240亿美元。

公司表示，攻击者利用了泰国零部件采购仓库管理系统的漏洞。该系统不包含任何客户数据，泄露记录仅限692条。

马自达在公告中称："公司已发现针对泰国零部件采购仓库管理系统的未授权外部访问痕迹。发现后，公司立即向个人信息保护委员会（日本内阁府外局）报告，并在外部专业机构协助下实施适当安全措施并展开调查。"

调查显示，可能泄露的信息包括：用户ID、姓名、电子邮箱、公司名称及合作伙伴ID。

尽管马自达表示尚未发现信息被滥用的情况，但建议受影响人员保持警惕，因为针对他们的钓鱼攻击和诈骗风险显著增加。

除通知当局外，马自达还实施了额外的IT系统安全措施，包括减少互联网暴露面、应用安全补丁、加强可疑活动监控及引入更严格的访问策略。

截至发稿，尚无勒索软件组织公开宣称对这家日本公司发动攻击。

BleepingComputer已联系马自达了解事件详情，将在收到官方回复后更新本文。

值得注意的是，虽然马自达从未正式确认数据泄露，但Clop勒索软件组织已于2025年11月在其数据泄露网站上列出Mazda.com和MazdaUSA.com，声称入侵了这家日本汽车制造商及其美国子公司。

...

HackerNews 编译，转载请注明出处：
Moltbook 是 Octane AI 的 Matt Schlicht 于 2026 年 1 月末推出的新兴 AI 智能体社交网络，当前该平台因号称拥有 150 万 “用户” 引发热议，但其存在一项高危漏洞，导致注册主体的电子邮箱、登录令牌及 API 密钥遭泄露。

...

HackerNews 编译，转载请注明出处：

网络安全研究人员披露了在 n8n 工作流自动化平台两个新的安全漏洞，其中一个为可导致远程代码执行的高危漏洞。

这两个由 JFrog 安全研究团队发现的漏洞详情如下：

...

HackerNews 编译，转载请注明出处：

Fortinet 发布一款正被利用的严重 FortiOS SSO 认证绕过漏洞 (CVE-2026-24858) 的修复程序，该漏洞影响 FortiOS、FortiManager 和 FortiAnalyzer。

...

HackerNews 编译，转载请注明出处：

谷歌于周一发布了 Android 操作系统的月度安全更新，其中包含两个已被证实存在野外利用情况的漏洞。

此次补丁共修复了 107 个涉及多个组件的安全漏洞，涵盖框架（Framework）、系统（System）、内核（Kernel）以及 ARM、Imagination Technologies、联发科（MediaTek）、高通（Qualcomm）和 Unison 等厂商相关组件。

以下是两个已被野外利用的高严重性漏洞详情：

...

HackerNews 编译，转载请注明出处：

趋势科技（Trend Micro）报告称，一个新发现的僵尸网络采用 “霰弹枪式” 策略攻陷设备 —— 其搭载了超 50 个漏洞利用工具，目标涵盖路由器、服务器、摄像头及其他网络产品。

该僵尸网络被命名为RondoDox，于 2025 年年中开始活跃，最初与CVE-2023-1389 漏洞的利用相关。此漏洞是 TP-Link Archer AX21 路由器广域网（WAN）接口中的命令注入漏洞，最早在 2022 年多伦多 Pwn2Own 黑客大赛中被披露。

2025 年 6 月，研究人员发现 RondoDox 开始针对CVE-2024-3721和CVE-2024-12856 漏洞发起攻击 —— 这两个高严重性漏洞分别存在于 TBK 品牌硬盘录像机（DVR）和四信（Four-Faith）路由器中，此后该僵尸网络的攻击目标清单大幅扩展。

据趋势科技透露，目前 RondoDox 的攻击范围已覆盖来自30 余家厂商的设备，包括路由器、硬盘录像机（DVR）、网络录像机（NVR）、闭路电视（CCTV）系统、网页服务器及其他网络设备。

RondoDox 共针对56 个漏洞发起攻击，其中 18 个漏洞尚未分配 CVE 标识（CVE 是漏洞统一编号系统，未分配标识意味着漏洞可能未被广泛公开或记录）。这些漏洞中，绝大多数属于 “命令注入漏洞”（攻击者可通过注入恶意命令控制设备），且有部分漏洞已被纳入美国网络安全与基础设施安全局（CISA）的 “已知被利用漏洞清单”（KEV List）—— 这一清单的纳入，凸显了设备厂商及用户 “立即打补丁修复漏洞” 的紧迫性。

2025 年 9 月末，网络安全公司 CloudSek 发出警告：自 2025 年年中以来，RondoDox 的攻击频次激增230% 。促成这一增长的关键因素，是该僵尸网络对 “弱密码”“未过滤输入” 及 “老旧 CVE 漏洞” 的批量利用（老旧漏洞指已被公开但仍有大量设备未修复的漏洞）。

CloudSek 指出，被 RondoDox 感染的设备会被用于三类恶意活动：加密货币挖矿（占用设备算力获取非法收益）、分布式拒绝服务（DDoS）攻击（操控大量感染设备瘫痪目标网站或服务器），以及入侵企业内部网络（以感染设备为 “跳板”，渗透企业核心系统）。

研究还发现，RondoDox 的操控者会通过快速轮换基础设施（如更换控制服务器 IP、域名）的方式躲避检测；同时，RondoDox 的恶意程序文件（二进制文件）常与另外两种知名僵尸网络恶意程序 ——Mirai和Morte的载荷（Payload，即实现恶意功能的核心代码）捆绑分发。

趋势科技表示：“近期，RondoDox 进一步扩大了传播范围 —— 它利用‘加载器即服务’（Loader-as-a-Service）基础设施，将自身与 Mirai/Morte 的载荷打包分发。这种捆绑方式使得‘检测与清除恶意程序’的需求变得更加迫切。”

...

HackerNews 编译，转载请注明出处：

Legit Security 近日披露了 GitHub Copilot Chat 人工智能助手的一个漏洞，该漏洞导致敏感数据泄露并允许攻击者完全控制 Copilot 的回复。

通过结合内容安全策略（CSP）绕过与远程提示注入，Legit Security 的研究员 Omer Mayraz 成功从私有仓库中泄露了 AWS 密钥和零日漏洞信息，并影响了 Copilot 向其他用户提供的回复。

Copilot Chat 旨在提供代码解释和建议，并允许用户通过 HTML 注释在渲染的 Markdown 中隐藏内容。隐藏评论仍会触发向仓库所有者发送的拉取请求通知，但不会显示评论内容。然而，相关提示也会被注入到其他用户的上下文中。

Mayraz 解释说，隐藏评论功能允许用户影响 Copilot，使其向其他用户显示代码建议，包括恶意软件包。Mayraz 还发现，他可以制作包含访问用户私有仓库指令的提示，对其内容进行编码，并将其附加到 URL 中。“当用户点击该 URL 时，数据就会被回传给我们，”他指出。

不过，GitHub 严格的内容安全策略阻止从非平台拥有的域名获取图片及其他内容，从而防止通过向受害者聊天中注入 HTML <img> 标签来泄露数据。当 README 或 Markdown 文件中包含外部图片时，GitHub 会解析这些图片以识别 URL，并使用开源项目 Camo 为每个文件生成匿名代理 URL。外部 URL 会被重写为 Camo 代理 URL，当浏览器请求图片时，Camo 代理会检查 URL 签名，并且仅当 URL 由 GitHub 签名时才从原始位置获取外部图片。

这种做法通过使用受控代理获取图片来确保安全，防止利用任意 URL 泄露数据，并且在 README 中显示图片时不会暴露图片 URL。

“我们注入到受害者聊天中的每个 <img> 标签必须包含预先生成的有效 Camo URL 签名，否则 GitHub 的反向代理将不会获取内容，”Mayraz 指出。

为了绕过这一保护机制，该研究员创建了一个包含字母表中所有字母和符号的字典，为每个字符预生成对应的 Camo URL，并将该字典嵌入到注入的提示中。

他创建了一个对每个请求返回 1x1 透明像素的服务器，构建了可用于从仓库泄露敏感内容的字母和符号的 Camo URL 字典，随后制作了触发漏洞的提示。

Mayraz 发布了概念验证视频，演示了如何利用该攻击从私有仓库中泄露零日漏洞和 AWS 密钥。

8月14日，GitHub 通知该研究员，已通过禁止使用 Camo 泄露用户敏感信息的方式修复了该问题。

...

HackerNews 编译，转载请注明出处：

美国网络安全与基础设施安全局（CISA）已将 Synacor Zimbra 协作套件（ZCS）的一个漏洞（漏洞编号：CVE-2025-27915）添加至其已知被利用漏洞（KEV）目录中。

CVE-2025-27915 是 Zimbra 协作套件（9.0-10.1 版本）中存在的一种存储型跨站脚本（XSS）漏洞，由 ICS 文件中 HTML 过滤不充分所致。当受害者打开包含恶意 ICS 条目（日历数据交换格式）的电子邮件时，JavaScript 代码会通过<ontoggle>事件执行，攻击者借此可劫持会话、设置邮件重定向并窃取数据。

StrikeReady 公司的研究人员发现，威胁行为者利用恶意 iCalendar（.ICS）文件，通过零日攻击（指漏洞未被公开且无补丁修复时发起的攻击） exploiting 了 Zimbra 协作套件中的 CVE-2025-27915 漏洞。ICS 文件原本用于共享日历数据，而在今年早些时候，该文件被恶意利用以向目标系统植入 JavaScript 有效负载。

StrikeReady 发布的报告指出：“2025 年初，一个显示来自 193.29.58.37 的发送方伪造利比亚海军礼宾办公室的身份，向巴西军方发起攻击，利用的正是 Zimbra 协作套件中的零日漏洞 CVE-2025-27915。此次攻击借助了恶意 ICS 文件，这是一种常用的日历格式文件。”

...

HackerNews 编译，转载请注明出处：

苹果公司在周一宣布了iOS和macOS平台的重大更新，并修复了一个在旧平台上被利用的漏洞。共修复了50多个漏洞。

...

HackerNews 编译，转载请注明出处：

网络安全研究人员发现，霍尼韦尔旗下Tridium公司开发的Niagara框架存在十余个安全漏洞。在特定配置下，处于同一网络的攻击者可利用这些漏洞攻陷系统。

...