最新文章

Top News
多个漏洞可致 Google Looker 实例被完全攻陷

多个漏洞可致 Google Looker 实例被完全攻陷

作者: hackernews 日期: 2026-02-05 分类: 漏洞

HackerNews 编译,转载请注明出处:


网络安全公司 Tenable 的研究人员发现两款漏洞,攻击者可利用其完全攻陷 Google Looker 商业智能平台实例

...

威胁行为者利用谷歌搜索 “Mac 清理工具” 相关广告,诱导用户访问恶意网站

威胁行为者利用谷歌搜索 “Mac 清理工具” 相关广告,诱导用户访问恶意网站

作者: hackernews 日期: 2026-01-30 分类: 恶意软件, 网络犯罪

HackerNews 编译,转载请注明出处:

网络犯罪分子借助谷歌搜索广告实施诱骗,让 Mac 用户访问声称可清理设备的虚假网站


当用户在谷歌中搜索“mac cleaner”或“clear cache macos”等常见关键词时,此类推广广告就会出现,乍一看极具迷惑性。


广告落地页模仿苹果官方网站设计,不仅布局相似,还配有一致的导航菜单。但在专业外观的伪装下,潜藏着针对不知情 Mac 用户的恶意攻击阴谋。


攻击者已在 Medium 及谷歌自有服务等平台发布虚假帖子,传播恶意操作指令,黑客可通过这些指令完全控制受害者设备。


整个攻击活动利用了一种简单却高效的策略:用户普遍信任谷歌的广告审核机制,并且对苹果的设计语言感到熟悉和安心。


用户点击广告后会被重定向至相关页面,页面中充斥着看似专业的操作指引,内容涉及释放磁盘空间、安装系统更新等。


MacKeeper 分析师确认,威胁行为者是通过劫持的谷歌广告账户开展此次攻击活动,且疑似已入侵 Nathaniel Josue Rodriguez 等个人及 Aloha Shirt Shop 等企业的合规广告账户。


恶意软件感染流程
该攻击的核心是一条看似简单却极具破坏力的指令,且该指令被伪装成合规的系统维护操作。


当用户按照页面指示,将提供的命令复制并粘贴到Mac的“终端”应用程序中执行时,便会在无意间触发一次远程代码执行攻击。


该指令链以 “清理 macOS 存储空间”“正在安装组件,请等待” 等看似无害的语句开头,这些均为社会工程学手段,目的是让用户确信自己在执行常规维护操作。


在这些友好提示的背后,隐藏着一段经过Base64编码的文本,其中包含了真实的攻击代码。


系统会通过 base64 命令解码该隐藏文本,解码后文本将转化为实际的 shell 命令,在用户毫不知情且未授权的情况下,从远程服务器下载恶意脚本。


脚本下载后,便会以当前用户的完整权限运行,使得攻击者能够执行多种恶意操作,包括:安装恶意软件、窃取SSH密钥、创建系统后门、进行加密货币挖矿、窃取个人文件,乃至修改关键系统设置


攻击者还采用了多种混淆技术来隐藏命令实际连接的目的地,从而增加了安全检测的难度。这种伪装下载并自动执行的模式,在专业级的恶意软件活动和供应链攻击中屡见不鲜。


MacKeeper的研究人员已成功识别出这些危险广告并向谷歌报告。目前,谷歌已采取行动,将这些恶意广告从搜索结果中移除。

...

Chrome 发布安全更新,修复后台 Fetch API 漏洞

Chrome 发布安全更新,修复后台 Fetch API 漏洞

作者: hackernews 日期: 2026-01-29 分类: 网络安全, 漏洞

HackerNews 编译,转载请注明出处:


Chrome 稳定版通道已推送 144.0.7559.109 和 144.0.7559.110 版本,修复了 Background Fetch API 中存在的一项高危安全漏洞。


该更新将在未来数天至数周内向 Windows、Mac 和 Linux 系统逐步推送,用户务必尽快将浏览器更新至最新版本


本次安全修复的核心是漏洞 CVE-2026-1504,这是一个影响 Background Fetch API 功能实现的高危漏洞


该漏洞被归类为功能“实现不当”问题,可能被威胁攻击者利用。


此漏洞由安全研究员 Luan Herrera 于 2026 年 1 月 9 日发现并上报,且凭借该漏洞获得谷歌漏洞奖励计划(Vulnerability Reward Program)3000 美元赏金。


Background Fetch API是一项网络标准,允许网络应用在后台下载大型文件,即使用户关闭了浏览器标签页或离开了该网站。


此实现中的漏洞可能使攻击者能够操纵后台获取操作。不过,在大多数用户安装补丁之前,具体的漏洞利用细节将暂不公开。


此次更新体现了 Chrome 对安全性的持续投入,并进一步巩固了浏览器的多层防御体系。


谷歌部署了 AddressSanitizer、MemorySanitizer、UndefinedBehaviorSanitizer、Control Flow Integrity、libFuzzer 及 AFL 等多款先进检测工具,用于发现安全问题并阻止其流入稳定版通道。


Chrome 144.0.7559 版本更新已立即启动推送。但为确保系统稳定性并便于监控,更新将分阶段进行,持续数周。


用户可通过访问 Chrome 设置菜单中的“检查更新”来手动安装更新


Windows 和 Mac 用户应更新至版本 144.0.7559.109 或 144.0.7559.110,Linux 用户则应更新至 144.0.7559.109版本。


安全专家建议,尤其是依赖搭载 Background Fetch API 的 Web 应用的企业用户与个人用户,应优先安装此更新。


管理大量 Chrome 部署的企业组织应在更新期间密切关注推送情况,并验证相关应用的兼容性。


本次构建所包含的全部更改的完整列表,可在官方的 Chrome 提交日志中查看。


若在更新后遇到问题,用户可通过漏洞报告系统提交反馈,或前往 Chrome 社区帮助论坛寻求支持。


谷歌将持续与全球安全研究人员合作,不断强化 Chrome 的安全防护能力,竭力防止漏洞对用户造成影响。

...

谷歌修复 107 个 Android 漏洞,含两个已被野外利用的框架漏洞

谷歌修复 107 个 Android 漏洞,含两个已被野外利用的框架漏洞

作者: hackernews 日期: 2025-12-02 分类: 漏洞

HackerNews 编译,转载请注明出处:

谷歌于周一发布了 Android 操作系统的月度安全更新,其中包含两个已被证实存在野外利用情况的漏洞。


此次补丁共修复了 107 个涉及多个组件的安全漏洞,涵盖框架(Framework)、系统(System)、内核(Kernel)以及 ARM、Imagination Technologies、联发科(MediaTek)、高通(Qualcomm)和 Unison 等厂商相关组件。


以下是两个已被野外利用的高严重性漏洞详情:

...

谷歌 AI 工具发现 Safari 浏览器 5 个新漏洞

谷歌 AI 工具发现 Safari 浏览器 5 个新漏洞

作者: hackernews 日期: 2025-11-05 分类: AI安全

HackerNews 编译,转载请注明出处:

苹果公司确认,谷歌旗下一款名为 “Big Sleep” 的人工智能(AI)网络安全代理工具,在其 Safari 浏览器所使用的 WebKit 组件中发现了 5 个不同的安全漏洞。这些漏洞若被成功利用,可能导致浏览器崩溃或内存损坏。


具体漏洞信息如下:

...

Brash 漏洞单个恶意链接即可导致全球 30 亿用户浏览器崩溃

Brash 漏洞单个恶意链接即可导致全球 30 亿用户浏览器崩溃

作者: hackernews 日期: 2025-10-31 分类: 网络安全

HackerNews 编译,转载请注明出处:

安全研究人员何塞·皮诺近日披露了Chromium的Blink渲染引擎中存在一个名为"Brash"的高危漏洞,攻击者可通过单个恶意链接在数秒内使众多基于Chromium的浏览器崩溃

...

网络犯罪团伙入侵谷歌执法请求系统

网络犯罪团伙入侵谷歌执法请求系统

作者: hackernews 日期: 2025-09-17 分类: 黑客事件, 安全隐私

HackerNews 编译,转载请注明出处:

近期,名为 “Scattered Lapsus$ Hunters” 的网络犯罪团伙在 Telegram上宣称,已获取谷歌 执法请求系统(LERS )及美国联邦调查局(FBI)电子背景调查系统的访问权限

...