Aggregator

eScan更新服务器被黑，杀毒软件竟向用户投毒

看雪论坛作者ID：Elenia

Avast announced the full international availability of Avast Scam Guardian and Scam Guardian Pro on mobile devices, alongside the launch of Avast Deepfake Guard on Windows PCs, a new AI-powered feature designed to proactively analyze and detect malicious audio in video content. Together, these launches expand the Avast scam protection ecosystem, extending coverage across mobile and PC to help protect people from scams across text messages, calls, and video platforms. Avast Deepfake Guard runs on … More →

The post Avast brings deepfake scam detection to Windows PCs and mobile devices appeared first on Help Net Security.

В соцсети обнаружили ошибку, из-за которой закрытые профили выдавали прямые ссылки на фотографии.

这篇文章的初衷是把AI领域的特定攻击手法与大家熟悉的传统系统安全攻击进行一次深度类比。这种跨领域的对比非常有意义，它不仅能帮我们识别出AI特有的新型攻击面，还能让传统安全专家用自己熟悉的术语和信任边界逻辑来理解这些新威胁。通过这种方式，我们可以更系统地看清两种安全范式在技术原理上的共性，以及那些决定性的差

2026 年 1 月，苹果在 iOS 26.3 版本中推出了一项新隐私功能 —— 限制蜂窝网络获取设备的 “精

HackerNews 编译，转载请注明出处： 超过40,000个使用Quiz and Survey Master插件的WordPress站点受到一个SQL注入漏洞的影响，该漏洞允许经过身份验证的用户干扰数据库查询。 该漏洞存在于10.3.1及更早的版本中，可以被任何具有“订阅者”（Subscriber）级别或更高权限的登录用户利用，从而增加了未经授权访问数据的风险。 Quiz and Survey Master（也称为QSM）被广泛用于创建测验、调查和表单。其功能集包括多媒体支持和拖放式测验构建器，这促成了其庞大的安装基数。 该漏洞无需管理员权限即可利用，意味着大量普通用户账号均可能被滥用，进而触发漏洞风险。 漏洞如何暴露站点数据库 该漏洞位于一个负责检索测验题目数据的REST API函数中。一个名为is_linking的请求参数被假定为数字标识符，并在没有经过适当验证的情况下被插入到数据库查询中。该参数值在与其他题目 ID 拼接、作为 SQL 语句执行前，未经过任何数据净化处理。 这种处理方式使得恶意用户可提交特制输入内容，其中包含额外 SQL 命令。由于查询语句未采用预处理语句构建，数据库会将注入的恶意内容当作查询语句的一部分执行，进而导致数据窃取或其他恶意操作风险。 该漏洞已被分配编号 CVE-2025-67987。虽然没有迹象表明该漏洞曾被积极利用，但其存在凸显了信任请求数据的风险，即使这些数据本意并非由用户直接控制。 负贵披露后发布补丁 Patchstack在上周发布的一份公告中表示，该漏洞已在Quiz and Survey Master版本10.3.2中修复。 该更新通过 intval 函数强制将 is_linking 参数转换为整数，确保数据库查询仅处理数字类型值，以此实现漏洞缓解。 该漏洞由Patchstack Alliance社区成员Doan Dinh Van发现并报告。 Patchstack于2025年11月21日收到报告并通知了插件供应商。修复版本于2025年12月4日发布，相关公告于2026年1月下旬公开。 此事件再次凸显了在WordPress插件中处理数据库查询时，进行输入验证和使用预编译语句的重要性。 消息来源: infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露 Docker 旗下 Ask Gordon 人工智能助手存在一项高危安全漏洞，该漏洞揭示了未经验证的元数据可被转化为可执行指令的攻击路径。 这个问题被Noma Labs命名为DockerDash，它暴露了从模型解释到工具执行的完整AI执行链中的弱点，并突显了随着AI代理更深地嵌入开发工作流而出现的新兴风险。 研究表明，Docker 镜像中仅需一个恶意元数据标签，即可通过三阶段攻击流程攻陷 Docker 环境。 Ask Gordon 会读取该元数据，将解析后的指令转发至模型上下文协议（MCP）网关，网关随即通过 MCP 工具执行该指令。该元数据全程未经过任何验证环节。这种信任机制缺陷使得攻击者无需利用传统软件漏洞，即可绕过安全边界实施攻击。 单一漏洞触发两条攻击路径 Noma Labs发现该漏洞存在统一攻击载体，攻击后果会随 Docker 部署环境的不同而存在差异。 在云端及命令行（CLI）环境中，该漏洞可导致高危级远程代码执行（RCE）。在 Docker 桌面端环境中，Ask Gordon 仅具备只读权限，但通过相同攻击手法，攻击者可实现大规模数据窃取与网络侦察。 DockerDash的核心是Noma Labs所称的元上下文注入。MCP网关旨在将上下文信息传递给大型语言模型，但它无法区分描述性元数据和预先授权内部指令。 攻击者将命令嵌入看似无害的 Docker LABEL 字段中，即可操控 AI 的推理逻辑，将上下文信息转化为具体执行动作。 数据窃取风险与缓解策略 不同环境下攻击影响存在差异，但均具备严重危害性，具体包括： 云端或本地命令行环境下，可通过 Docker 命令行指令实现远程代码执行 容器配置、环境变量及网络配置信息泄露 枚举已安装的 MCP 工具、镜像及系统配置数据 在 Docker 桌面端，攻击者还可指令 Ask Gordon 将窃取的数据嵌入出站请求中实现外泄，以此绕过针对命令执行、而非未授权读取的安全管控。 Noma Labs于2025年9月17日向Docker报告了此问题。Docker于10月13日确认了该漏洞，并在2025年11月6日发布的Docker Desktop版本4.50.0中进行了修复。漏洞详情于近日对外公开。 Docker实施了两项关键的缓解措施。一是 Ask Gordon 不再解析用户提供的镜像 URL，阻断了一条数据外泄路径。二是调用任意 MCP 工具前均需用户明确确认，新增了人机协同防护机制。 官方强烈建议用户升级至 Docker 桌面端 4.50.0 及后续版本，降低遭受此类新型 AI 驱动供应链攻击的风险。 消息来源: infosecurity-magazine： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员发现了一个新的勒索软件即服务（RaaS）组织，该团伙已攻陷巴西及南非多家机构。 据勒索软件专业公司Halcyon称，该团伙被命名为 “Vect”，于 2025 年 12 月启动招募计划后，目前正持续吸纳加盟攻击者。 该组织声称其恶意软件是使用C++独立开发的，而不是像多数同类团伙那样，重新利用Lockbit 3.0或Conti等知名勒索软件的泄露源代码。 该勒索软件采用 ChaCha20-Poly1305 认证加密算法，据称在无硬件加速的系统上，其加密速度是 AES-256-GCM 算法的 2.5 倍。其采用间歇加密技术部署，为提升加密速度，仅对部分数据块进行加密混淆。 Halcyon声称：“尽管该团伙成立时间较短，但展现出超乎寻常的成熟度，其宣称可提供跨平台勒索软件，覆盖 Windows、Linux 及 VMware ESXi 系统；支持安全模式执行以压制安全工具；还配备高速间歇加密功能，兼顾攻击速度与破坏性。” “Vect 目前似乎处于早期验证阶段，已宣称攻陷巴西、南非各一家机构，大概率在大规模扩张前测试自身攻击能力。” 加盟者的收入分成模式显然是“慷慨”的，入门费为 250 美元，且独立国家联合体（CIS）区域申请者可免缴该费用 —— 这一规则暗示了该团伙的藏身区域。 该行动的成熟度表明它是由一些有经验的RaaS参与者运营的，Red Piranha的另一项分析声称。 Red Piranha在一份研究报告中解释道：“该组织的操作安全措施引人注目，使用门罗币进行支付以保持财务匿名性，通过 TOX 协议实现加盟攻击者间的加密点对点通信；基础设施完全依托 TOR 隐藏服务搭建，未在公网留下任何痕迹。” “自主研发恶意软件、采用新型加密算法、具备跨平台攻击能力、搭配完善操作安全措施，这些特征共同表明，Vect 的操控者是资深威胁行为者，可能是老牌勒索软件加盟者的品牌转型或全新布局。” 该机构补充说，初始访问很可能是通过暴露的RDP/VPN、窃取的凭据、网络钓鱼或漏洞利用实现初始入侵。 Vect 采用经典双重勒索模式，目前已攻陷的两家机构均被列在其公开数据泄露平台上。 建议采取的防护措施 Halcyon建议网络防御者关注以下方面，以降低Vect带来的风险： 加固边界设备防范初始入侵：需重点防护飞塔（Fortinet）账号及管理界面（Vect 曾在俄语论坛求购被盗飞塔账号）；及时安装更新补丁，限制管理员权限暴露范围，对所有远程访问及特权访问强制要求高强度身份认证。 跨 Windows、Linux、VMware ESXi 系统开展威胁遏制：对管理网络进行分段隔离，限制虚拟机管理程序管理平面的访问权限，通过管控管理协议与文件共享，阻断攻击者横向渗透路径。 重点监测安全模式与间歇加密行为：加强对可疑安全模式启动、快速选择性文件加密（间歇加密典型特征）的监控；集中收集并核查相关日志与遥测数据，实现快速范围界定与威胁遏制。 部署反勒索软件防护方案：采用可在恶意二进制文件运行前阻断执行、能检测并阻止勒索软件运行时行为与数据窃取尝试、可拦截篡改操作及网络入侵的防护工具。 消息来源: infosecurity-magazine： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员警告，一场多阶段的网络钓鱼活动正在使用一种隐蔽的技术来规避安全工具的检测，并窃取知名云存储服务的公司凭证。 Forcepoint X-Labs于2月2日针对该持续开展的攻击活动发布预警，其通过组合多类手段窃取 Dropbox 账号登录凭证：伪造紧急公务相关钓鱼邮件、附带 PDF 附件、植入隐藏恶意链接、搭建伪造登录页面。 该攻击活动以钓鱼邮件为起点，邮件伪装成与采购需求或商务采购相关的内容。 邮件内容简短，但伪装得极具专业可信度，通常会定制成目标用户熟悉的机构或联系人发来的样式，并要求用户打开 PDF 附件了解详情。 Forcepoint指出，邮件的简洁特性使其可绕过 SPF、DKIM、DMARC 等邮件身份认证检测，同时邮件中隐含的紧急诉求，目的是诱导收件人按指令操作。 若用户打开该 PDF 文件，会被引导点击内嵌链接以配合相关需求。该链接基于 Acro 表单编写，大幅降低安全软件对其的扫描检测能力。 研究人员表示，该链接会将目标用户导向一个名为 “可信云存储” 的平台，随后该平台会跳转至伪造但极具迷惑性的 Dropbox 登录页面。 “攻击者借助合法云基础设施降低警惕性，在这一过程中绕过了许多基于信誉评级和已知恶意指标的自动化安全检测，” Forcepoint 高级安全研究员 Hassan Faizan 表示。 如果用户输入其登录凭证，该用户名和密码将被发送到攻击者运营的Telegram频道。攻击者获取合法登录凭证后，可登录目标账号，还可能将该初始访问权限作为起点，发起后续更多攻击。 “这些被盗凭证会被窃取至攻击者控制的命令与控制基础设施，进而被进一步滥用，包括账号劫持、内网渗透及后续更多欺诈行为。” Faizan 说。 2025 年期间，凭证窃取及身份仿冒类攻击呈激增态势，网络犯罪分子试图通过隐蔽方式获取企业账号及网络访问权限。有时，攻击者的最终目标仅仅是窃取数据。但这类入侵也可能是更具破坏性攻击活动的开端，其中就包括勒索软件攻击。 消息来源: infosecurity-magazine： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

尚不确定发布时间

Apple released Xcode 26.3 with new agentic coding capabilities designed to let AI systems carry out development tasks inside the IDE. The release supports agents such as Anthropic’s Claude Agent and OpenAI’s Codex. Coding agents can break down tasks, make decisions based on a project’s architecture, and use built-in tools to carry out work. “Agentic coding supercharges productivity and creativity, streamlining the development workflow so developers can focus on innovation,” Susan Prescott, Apple’s VP of … More →

The post Apple Xcode 26.3 adds coding agent support from OpenAI and Anthropic appeared first on Help Net Security.

Искусственный интеллект спровоцировал дефицит накопителей.

De Belastingdienst geeft zijn ongeveer 27.000 medewerkers ruim baan om reservist te worden. De overheidsorganisatie wil bijdragen aan de nationale veiligheid, weerbaarheid en veerkracht van de rechtsstaat.  Daarom hebben de Belastingdienst en Defensie gisteren een convenant gesloten. 

ByteSRC 正式启动开源项目漏洞收录计划，100+资产上新！