微闻

标签: 漏洞

  • 苹果修复iOS漏洞 漏项或被利用进行钓鱼攻击

    苹果公司修复了iOS 18.2中的一个漏洞,该漏洞自发布以来已有三个月时间,可能导致攻击者利用网络流量进行钓鱼攻击。此次漏洞被描述为“零日”,即漏洞在安全补丁之前被利用。漏洞影响的主要在于具有特权网络访问权限的攻击者可能对目标发起钓鱼攻击。

    苹果团队表示,此次漏洞源于应用内未强制使用HTTPS协议以加密敏感数据传输,导致与用户共享同一Wi-Fi网络的攻击者有机会将用户引导至钓鱼网站,从而窃取登录信息。已知受影响设备包括iOS 18.2及之前的版本。

    作为安全研究机构,CWE Lab对此次漏洞修复提出专业建议,并强调此类漏洞利用的风险依然存在。此前,苹果公司曾多次面临网络钓鱼攻击的威胁,例如在2021年和2023年分别被曝出通过iOS 15和17版本利用零日漏洞进行的数据窃取。

    此外,安全研究人员指出,该漏洞修复并非唯一影响深远的安全事件。2020年CNVD报告中也列出了多起针对iOS设备的高风险漏洞。目前,苹果公司已发布修复补丁以应对此次漏洞问题,并提醒用户在使用相关设备时注意保护敏感信息。

    综上所述,此次iOS漏洞的发现和修复标志着苹果公司对网络安全意识的一次重要提升,同时也为未来的安全威胁评估提供了宝贵的经验。

  • WhatsApp 修复 iOS 25.2.3 隐私漏洞

    WhatsApp iOS 隐私漏洞在最新更新中修复

    ​WhatsApp 发布了适用于 iOS 设备的 25.2.3 版本,以修复影响其“查看一次”功能的重大隐私漏洞。该漏洞允许用户访问原本在一次查看后就会消失的照片和视频。​这个安全漏洞仅影响 iPhone 用户,允许任何人通过导航至“设置”➝“存储和数据”➝“管理存储”并按“最新”对媒体进行排序来查看本应消失的临时内容。这完全绕过了“查看一次”功能旨在提供的隐私保护。安全研究员 Ramshath 首先在 Medium 帖子中记录了这个漏洞,促使 WhatsApp 承认了这个问题并开发了修复程序。最新更新还包括无需先保存电话号码即可拨打电话,以及增强的群组通话功能。

    —— Macrumors

  • 斯巴鲁安全漏洞暴露

    斯巴鲁安全措施薄弱大量车辆数据易被窃取

    斯巴鲁留下了一个巨大的安全漏洞,虽然已经修补,但仍暴露出现代汽车的无数隐私问题。两位安全研究人员报告了他们关于一个容易被黑客入侵的员工门户网站的发现。获得访问权限后,他们能够远程控制测试车辆并查看一年的位置数据。在安全分析师通知斯巴鲁后,该公司迅速修补了漏洞。被黑的管理门户是斯巴鲁STARLINK车联网功能套件的一部分。研究员在领英上找到斯巴鲁员工电邮地址,并在绕过两个必需的安全问题后重置了该员工密码,从而成功入侵。​该管理门户还允许研究员远程启动、停止、锁定和解锁任何与STARLINK连接的斯巴鲁汽车,还可以查询和检索任何客户的个人信息。

    —— Engadget、《连线》杂志

  • 黑客利用 Ivanti VPN 新漏洞入侵企业网络

    黑客利用 Ivanti VPN 新漏洞入侵企业网络

    美国软件巨头 Ivanti 警告称,其广泛使用的企业 VPN 设备中的零日漏洞已被利用来入侵其企业客户的网络。Ivanti 周三表示该漏洞被评为严重级别,编号为 CVE-2025-0282,无需任何身份验证即可利用该漏洞在 Ivanti 的 Connect Secure、Policy Secure 和 ZTA Gateways 产品上远程植入恶意代码。Ivanti 公司在周三发布的公告中确认,威胁行为者正在积极利用 CVE-2025-0282 “作为零日漏洞”,这意味着该公司在漏洞被发现和利用之前没有时间修复该漏洞,并且该公司知道“有限数量的客户”其 Ivanti Connect Secure 设备遭到黑客入侵。Ivanti 尚未透露有多少客户受到黑客攻击,也未透露谁是入侵者。

    —— Techcrunch

  • 黄仁勋利用美国税法漏洞合法避税

    黄仁勋被指利用美国税法漏洞合法避税

    黄仁勋利用美国联邦遗产税和赠与税中的漏洞避税,金额或高达80亿美元。2012年,黄仁勋向SEC提交的文件显示,他们夫妻开设了一种名为“不可撤销信托”的资产类型,将58.4万股英伟达股票转入其中。当年这笔股票的价值现已达到30亿美元,而利用IDGT的避税方式,继承人在继承时仅需缴纳数十万美元的税款。而在2016年,黄仁勋和妻子成立了几家授予人保留年金信托,并在当年将300多万股英伟达股票投入了四个新的GRAT之中。这些股票价值现已超过150亿美元,作为一种不可撤销的信托,信托受益人也就不必为这些资产缴纳遗产税。从2007年起,黄仁勋还利用向慈善基金会捐款的方式避税,包括其与妻子设立的慈善基金会。

    —— 澎湃新闻

  • 谷歌项目发现了 SQLite 软件中的可利用漏洞

    谷歌使用大语言模型发现了现实中的 SQLite 软件漏洞

    Google Project Zero 和 Google DeepMind 的 AI 智能体最近在开源数据库引擎 SQLite 中发现了一个之前未知且可利用的漏洞。该公司在正式发布之前报告了该漏洞,这促使 SQLite 发布了修复。安全研究人员写道,“我们相信这是 AI 智能体在广泛使用的现实世界软件中发现之前未知的可利用内存安全问题的第一个公开例子。”该案例还表明 AI 比自动化测试工具和人类安全研究人员在发现未知漏洞方面更高效。

    谷歌的这个项目最初被称为“午睡计划”,后来更名为“Big Sleep”,研究人员希望 AI 能够变得足够强大,让人类研究人员在工作中“经常小睡”。Big Sleep 专门设计了特殊工具,旨在“模仿人类安全研究人员的工作流程”,以检查程序代码发现未知漏洞。该模型还可以寻找现有安全漏洞的变体,以举一反三的形式发现常见漏洞。

    —— 谷歌博客

  • 微信安全漏洞

    微信开发人员在修改 TLS 时引入了安全漏洞

    研究人员称,消息应用巨头微信使用了自定义修改版的 TLS 网络协议,因此引入了安全漏洞。微信使用 MMTLS,这是一种基于 TLS 1.3 的加密协议。开发人员基本上对标准 TLS 进行了调整,但应用程序的加密实现方式“与十亿用户使用的应用程序所期望的加密级别不一致,例如它使用确定性 IV 和缺乏前向保密性。”但更彻底的分析显示,它提供了两层加密,明文内容被包裹在“业务层加密”中,而得到的密文则被包裹在 MMTLS 加密中,密文将通过微信网络发送。这有效缓解了对 MMTLS 缺陷的可能的攻击,但这些缺陷在标准版 TLS 中并不存在。

    研究人员表示,只有在中国,开发人员才会逆潮流而行,自行开发加密系统,而且一般来说,这些系统都不如标准 TLS 1.3 或 QUIC 实现有效。

    —— The Register

  • Linux发行版存在严重的远程代码执行漏洞

    几乎所有 Linux 发行版都存在严重的远程代码执行漏洞 漏洞评分达到9.9/10分

    几乎所有 Linux 发行版都存在严重的远程代码执行漏洞,漏洞评分高达 9.9/10 分。目前只知道该漏洞可以被用来无需身份验证远程执行代码,具体 CVE 编号尚未分配,并且两周后漏洞被披露时是否有可用的安全补丁都是个问题。其中 Ubuntu 发行商 Canonical 和 RHEL 发行商 RedHat 等已经确认这些漏洞的严重性,如果这些漏洞遭到利用可能会给整个业界造成灾难。该漏洞主要存在于 Unix 打印系统 CUPS 中,如果用户正运行 CUPS,并启用了 cups-browsed,那么就存在被攻击风险,导致用户设备被远程劫持。

    —— IT之家、蓝点网

  • 苹果即将推送iOS 18.0.1修复漏洞

    苹果最迟下周末推送 iOS 18.0.1 以修复漏洞

    苹果公司似乎正在内部测试适用于 iPhone 的 iOS 18.0.1 更新,该更新预计最迟将在下周末推出。预计 iOS 18.0.1 将是一次专注于修复错误的小更新。此次更新可能解决的问题包括影响苹果 iPhone 16 系列和部分老款机型的触摸屏问题,分享 Apple Watch 表盘可能导致 iMessage 应用反复崩溃错误,iPadOS 18 会导致部分 M4 iPad 更新后变砖。iOS 18.0.1 将先于 iOS 18.1 推出,苹果此前宣布 iOS 18.1 将于 10 月发布。iOS 18.1 现已推出测试版,其中包括首批适用于 iPhone 的 Apple 智能功能,包括写作工具、通知摘要等。

    —— MacRumors

  • 苹果修复 Vision Pro 安全漏洞

    苹果修复 Vision Pro 安全漏洞,该漏洞可能会泄露输入的内容

    今年,由六名计算机科学家组成的小组发现了 Apple Vision Pro 中的一个安全漏洞,该漏洞允许他们重建人们输入的内容,包括密码、PIN 和消息。当 Vision Pro 用户使用虚拟 Persona 头像时,研究人员能够通过分析 Persona 的眼球运动或“注视”来判断用户在头显虚拟键盘上输入的内容。研究人员称,人们的目光通常会集中在他们接下来可能按下的键上。因此,研究人员在五次猜测内能够92%的准确率识别出人们在消息中输入的字母,对于密码的识别准确率为77%。研究人员于四月份向苹果公司披露了此漏洞,苹果于七月份在 visionOS 1.3 中解决了此问题。

    —— 连线杂志