据外媒VGC报道,游戏引擎Unity近日被曝出存在一个自2017年起影响所有使用该引擎构建游戏的安全漏洞。Unity公司已紧急要求开发者立即采取行动修复该问题。尽管Unity表示目前尚未发现该漏洞被利用的迹象,但该漏洞在通用漏洞评分系统中被评为7.4分的高危等级。据分析,攻击者可能通过此漏洞在设备上执行代...

德国安全公司 ERNW 在黑帽大会上披露,微软 Windows Hello for Business 存在名为"Faceplant"的高危漏洞。攻击者可通过解密生物特征模板并注入目标设备,实现非接触式权限绕过,最终以自定义面部登录他人账户。与早期漏洞不同,"Faceplant"支持跨设备操作,显著降低攻击门槛。该漏洞主要影响企业域环境系...

科技媒体TechSpot报道,在DEF CON 33黑客大会上,安全研究员披露LastPass、1Password、Bitwarden、Enpass、iCloud Passwords及LogMeOnce六款密码管理器浏览器扩展中存在未修复的点击劫持漏洞。攻击者可诱导用户点击伪装界面,触发自动填充功能,造成敏感信息泄露。Bitwarden已在最新版本中修复该问题,Enp...

在 Black Hat USA 2025 与 DEF CON 33 大会上,微软安全测试与进攻性研究团队(STORM)披露了 Windows 恢复环境(WinRE)中的多个漏洞。这些漏洞可被攻击者利用,绕过 BitLocker 加密机制,窃取设备上的全盘加密数据。WinRE 是 Windows 10 与 Windows 11 系统的重要恢复工具,用户可在系统故障时通过重启进入...

《连线》8月6日报道,安全研究人员Michael Bargury和Tamir Ishay Sharbat在拉斯维加斯Black Hat黑客大会上披露,OpenAI连接器(Connectors)存在严重漏洞,攻击者可通过间接提示注入攻击,无需用户交互即可从Google Drive提取敏感数据。演示中,研究人员成功窃取了开发者密钥。Bargury称,攻击者仅需获取目标...

网络设备巨头思科近日通报一起安全事故,一名员工遭语音钓鱼攻击,导致部分用户基础资料信息外泄。公司于7月24日发现该事件,调查显示攻击者通过诱骗员工获取了第三方CRM系统的访问权限。泄露信息包括用户姓名、所属机构、地址、用户ID、邮箱、电话号码及账户创建日期等。思科强调,企业客户的机密信息、...

科技媒体bleepingcomputer报道,广受程序员欢迎的AI开发工具Cursor被曝存在CurXecute漏洞(CVE-2025-54135),攻击者可注入恶意提示,通过AI智能体远程执行代码并获取开发者权限。该漏洞影响几乎所有版本,官方已于7月29日发布1.3版本修复。研究人员指出,Cursor依赖的Model Context Protocol(MCP)协议在连...

黑客组织LightBasin(又称UNC2891)被曝利用搭载4G模块的树莓派单板计算机,成功绕过某银行安全防线,接入ATM网络交换机,建立隐蔽的远程控制通道。该设备通过移动数据实现持久化访问,使攻击者得以横向移动并部署名为"lightdm"的后门程序,伪装成系统组件以逃避检测。此次攻击旨在伪造ATM授权实现非法取现,...

安全研究机构ERNW近日披露,Windows Hello for Business存在"面部交换攻击"漏洞,攻击者可通过替换生物识别模板,伪装成合法用户登录系统。研究人员指出,该漏洞源于系统架构设计缺陷--生物识别验证与登录认证耦合较松,且加密密钥依赖本地存储,未引入外部熵。ERNW解释称,尽管Windows加密了面部识别模板,...

科技媒体borncity昨日报道,Linux系统中的sudo命令存在高危漏洞(CVE-2025-32463),攻击者可借此提升权限至root级别。该漏洞源于系统对`/etc/nsswitch.conf`文件的处理不当,当用户使用`-host`或`-h`选项时,可能导致远程未授权代码执行。此外,`-chroot`和`-R`参数同样存在缺陷,可绕过sudoers文件的安全限...

安全公司Rapid7最新报告显示,兄弟公司689款家用及企业打印机存在严重安全漏洞,其中CVE-2024-51978漏洞被列为"严重"等级,CVSS评分达9.8。攻击者利用打印机序列号可推算默认密码,进而远程获取敏感信息、瘫痪设备或窃取网络凭证。受影响的还包括富士、东芝等品牌的59款机型。尽管多数漏洞可通...

网络安全机构Varonis近日披露,有攻击者滥用微软Microsoft 365中的Direct Send功能,绕过常规邮件安全检测机制,对70个不同行业的组织发起大规模网络钓鱼攻击。该功能本用于企业内部设备发送邮件,但被攻击者通过智能主机从外部IP伪造内部邮件,逃避SPF、DKIM和DMARC等防护策略。攻击邮件伪装成语音邮件或...

科技媒体 BleepingComputer 报道,包括 Brother 在内的 742 款打印机存在安全漏洞 CVE-2024-51978,攻击者可利用该漏洞生成默认管理员密码,进而实现远程控制。该漏洞由 Rapid7 研究人员发现,CVSS 评分高达 9.8,影响 HTTP、HTTPS 和 IPP 服务端口。研究显示,攻击者可通过 CVE-2024-51977 泄露打印机序列...

知名压缩软件 WinRAR 被曝存在严重安全漏洞 CVE-2025-6218,该漏洞为目录遍历类型,允许攻击者通过构造恶意压缩文件远程执行代码。研究人员"whs3-detonator"通过 Trend Micro 的零日计划披露了该问题。漏洞利用需用户交互,但攻击者可通过操控解压路径访问受限系统目录,CVSS 评分高达 7.8,对数据保密性...

近日,安全研究人员发现两种新的本地权限提升漏洞(LPE),可能使攻击者完全控制系统或获取root权限,影响主流Linux发行版。其中,CVE-2025-6018存在于openSUSE Leap 15和SUSE Linux Enterprise 15的PAM配置中,允许攻击者获得"allow_active"用户权限。而CVE-2025-6019则利用libblockdev库漏洞,通过udisks守...

安全公司Aim Labs近日披露,微软365 Copilot聊天机器人存在一项名为EchoLeak的高危漏洞(CVE-2025-32711),攻击者可利用该漏洞窃取敏感数据,无需用户交互。微软已紧急修复漏洞,并确认未对客户造成影响。漏洞源于Copilot依赖的检索增强生成(RAG)系统设计缺陷,攻击者通过大语言模型权限越界(LLM Scope Vio...

网络安全专家BruteCat近日披露,谷歌账户恢复流程存在严重漏洞,攻击者仅需获取用户的谷歌个人资料名称及部分手机号码信息,即可暴力破解出完整的恢复手机号码。该漏洞源于一个已被废弃的无JavaScript版本谷歌用户名恢复表单,由于缺乏现代防护机制,攻击者通过用户显示名称(如"John Smith")即可发起查询...

网络安全公司Sysdig警告,攻击者正利用配置不当的Open WebUI实例发起威胁。这些在线暴露且无身份验证的系统被攻破后,攻击者上传了名为"pyklump"的高度混淆Python脚本,该脚本极有可能由AI生成或依赖AI辅助完成。通过多阶段攻击,攻击者使用Discord webhook进行指挥与控制通信,并借助"processhider"工具...

博通于3月25日发布安全公告,宣布修复VMware Tools for Windows中的一个高危认证绕过漏洞(CVE-2025-22230)。该漏洞由俄罗斯网络安全公司Positive Technologies研究员Sergey Bliznyuk发现,攻击者无需用户交互即可将低权限提升至系统最高权限。VMware Tools作为提升虚拟机性能的核心组件,此次漏洞源于访...

数日前,微软发布了年度《Digital Defense Report》,指出对政府最大的数字威胁主要来自俄罗斯、朝鲜、伊朗等国家。今天,这家科技巨头再次发布了一份咨询报告,称多家参与国防的美国公司正被一个与伊朗有关的威胁行为者盯上。微软发现的最新恶意活动集群目前被称为 DEV-0343。该公司将这一命名方式分配...