科技媒体TechSpot报道,在DEF CON 33黑客大会上,安全研究员披露LastPass、1Password、Bitwarden、Enpass、iCloud Passwords及LogMeOnce六款密码管理器浏览器扩展中存在未修复的点击劫持漏洞。攻击者可诱导用户点击伪装界面,触发自动填充功能,造成敏感信息泄露。Bitwarden已在最新版本中修复该问题,Enp...

在 Black Hat USA 2025 与 DEF CON 33 大会上,微软安全测试与进攻性研究团队(STORM)披露了 Windows 恢复环境(WinRE)中的多个漏洞。这些漏洞可被攻击者利用,绕过 BitLocker 加密机制,窃取设备上的全盘加密数据。WinRE 是 Windows 10 与 Windows 11 系统的重要恢复工具,用户可在系统故障时通过重启进入...

《连线》8月6日报道,安全研究人员Michael Bargury和Tamir Ishay Sharbat在拉斯维加斯Black Hat黑客大会上披露,OpenAI连接器(Connectors)存在严重漏洞,攻击者可通过间接提示注入攻击,无需用户交互即可从Google Drive提取敏感数据。演示中,研究人员成功窃取了开发者密钥。Bargury称,攻击者仅需获取目标...

网络设备巨头思科近日通报一起安全事故,一名员工遭语音钓鱼攻击,导致部分用户基础资料信息外泄。公司于7月24日发现该事件,调查显示攻击者通过诱骗员工获取了第三方CRM系统的访问权限。泄露信息包括用户姓名、所属机构、地址、用户ID、邮箱、电话号码及账户创建日期等。思科强调,企业客户的机密信息、...

黑客组织LightBasin(又称UNC2891)被曝利用搭载4G模块的树莓派单板计算机,成功绕过某银行安全防线,接入ATM网络交换机,建立隐蔽的远程控制通道。该设备通过移动数据实现持久化访问,使攻击者得以横向移动并部署名为"lightdm"的后门程序,伪装成系统组件以逃避检测。此次攻击旨在伪造ATM授权实现非法取现,...

安全研究机构ERNW近日披露,Windows Hello for Business存在"面部交换攻击"漏洞,攻击者可通过替换生物识别模板,伪装成合法用户登录系统。研究人员指出,该漏洞源于系统架构设计缺陷--生物识别验证与登录认证耦合较松,且加密密钥依赖本地存储,未引入外部熵。ERNW解释称,尽管Windows加密了面部识别模板,...

网络安全机构Varonis近日披露,有攻击者滥用微软Microsoft 365中的Direct Send功能,绕过常规邮件安全检测机制,对70个不同行业的组织发起大规模网络钓鱼攻击。该功能本用于企业内部设备发送邮件,但被攻击者通过智能主机从外部IP伪造内部邮件,逃避SPF、DKIM和DMARC等防护策略。攻击邮件伪装成语音邮件或...

科技媒体 BleepingComputer 报道,包括 Brother 在内的 742 款打印机存在安全漏洞 CVE-2024-51978,攻击者可利用该漏洞生成默认管理员密码,进而实现远程控制。该漏洞由 Rapid7 研究人员发现,CVSS 评分高达 9.8,影响 HTTP、HTTPS 和 IPP 服务端口。研究显示,攻击者可通过 CVE-2024-51977 泄露打印机序列...

知名压缩软件 WinRAR 被曝存在严重安全漏洞 CVE-2025-6218,该漏洞为目录遍历类型,允许攻击者通过构造恶意压缩文件远程执行代码。研究人员"whs3-detonator"通过 Trend Micro 的零日计划披露了该问题。漏洞利用需用户交互,但攻击者可通过操控解压路径访问受限系统目录,CVSS 评分高达 7.8,对数据保密性...

近日,安全研究人员发现两种新的本地权限提升漏洞(LPE),可能使攻击者完全控制系统或获取root权限,影响主流Linux发行版。其中,CVE-2025-6018存在于openSUSE Leap 15和SUSE Linux Enterprise 15的PAM配置中,允许攻击者获得"allow_active"用户权限。而CVE-2025-6019则利用libblockdev库漏洞,通过udisks守...

安全公司Aim Labs近日披露,微软365 Copilot聊天机器人存在一项名为EchoLeak的高危漏洞(CVE-2025-32711),攻击者可利用该漏洞窃取敏感数据,无需用户交互。微软已紧急修复漏洞,并确认未对客户造成影响。漏洞源于Copilot依赖的检索增强生成(RAG)系统设计缺陷,攻击者通过大语言模型权限越界(LLM Scope Vio...

网络安全专家BruteCat近日披露,谷歌账户恢复流程存在严重漏洞,攻击者仅需获取用户的谷歌个人资料名称及部分手机号码信息,即可暴力破解出完整的恢复手机号码。该漏洞源于一个已被废弃的无JavaScript版本谷歌用户名恢复表单,由于缺乏现代防护机制,攻击者通过用户显示名称(如"John Smith")即可发起查询...

网络安全公司Sysdig警告,攻击者正利用配置不当的Open WebUI实例发起威胁。这些在线暴露且无身份验证的系统被攻破后,攻击者上传了名为"pyklump"的高度混淆Python脚本,该脚本极有可能由AI生成或依赖AI辅助完成。通过多阶段攻击,攻击者使用Discord webhook进行指挥与控制通信,并借助"processhider"工具...

科技媒体bleepingcomputer报道,WordPress高级主题Motors近日被发现存在严重的提权漏洞(CVE-2025-4322),CVSS评分高达9.8分。该漏洞允许未经身份验证的攻击者篡改任意用户密码,包括管理员账户,从而完全控制网站。Motors主题由StylemixThemes开发,主要面向汽车行业,在Envato市场的销量已超过22300份。网...

网络安全公司WithSecure最新报告显示,黑客通过篡改开源密码管理器KeePass的源代码,植入名为KeeLoader的木马版本,暗中窃取用户数据并部署勒索软件。攻击者利用Bing广告推广恶意安装程序,诱导用户访问伪造网站。据悉,KeeLoader伪装成正常密码管理工具,实际会安装Cobalt Strike信标,并以明文导出密码数...

火狐浏览器今日发布Firefox 138.0.4 紧急更新,重点修复两项安全漏洞。据官方公告,此次更新解决了CVE-2025-4920漏洞,该漏洞可能导致攻击者对JavaScript对象进行越界读取或写入操作。同时,更新还修复了CVE-2025-4921漏洞,攻击者可通过混淆数组索引大小,实现对JavaScript对象的越界访问。火狐浏览器建议...

科技媒体bleepingcomputer报道,一种新型WordPress恶意软件正伪装成安全工具插件诱骗用户安装。据Wordfence研究团队披露,该恶意软件不仅赋予攻击者持久访问权限,还能远程执行代码并注入JavaScript脚本,且巧妙隐藏在插件仪表盘之外以规避检测。一旦激活,恶意软件会通过"emergency_login_all_admin...

网络安全公司Oligo披露,苹果隔空播放(AirPlay)功能存在一系列漏洞"Airborne",波及数百万苹果设备及其配件。攻击者可通过同一Wi-Fi网络控制支持AirPlay的设备,并传播恶意软件,公共Wi-Fi和商业场所成为高风险区域。利用"Airborne"漏洞,攻击者可实施间谍活动、勒索软件攻击等多种威胁,包括远程代码执行...

安全研究人员近日披露了一种名为"Cookie-Bite"的新型攻击方式,通过恶意Chrome扩展程序窃取微软Azure Entra ID的会话Cookie,从而绕过多重身份验证(MFA)保护,持续访问Microsoft 365、Outlook和Teams等云服务。该攻击由Varonis团队开发,利用扩展程序窃取"ESTAUTH"和"ESTSAUTHPERSISTENT"两种关键Cookie...

IBM《2025年X-Force威胁情报指数报告》显示,网络攻击者正转向更隐蔽的作案手法,凭证盗窃案件激增,而勒索软件攻击有所减少。2024年,内置信息窃取程序的恶意邮件同比增加84%,攻击者利用此类手段扩大身份攻击规模。随着AI技术的滥用,含窃取程序的钓鱼邮件数量在2025年进一步攀升,导致账户接管风险加剧。...