Aggregator

These are the top threats you should know about this week.

原域名已变更且将在2024年彻底废弃，请访问 https://govuln.com/news/ 查看新的RSS订阅

Most organizations running Microsoft 365 rely on native email controls as their primary line of defense. According to Mimecast research, 38% of organizations depend exclusively on those native controls for collaboration security, and 64% say those controls are insufficient against the threat landscape. Ranjan Singh, Chief Product and Technology Officer at Mimecast, outlines how the company’s API-based approach delivers protection on par with a traditional Secure Email Gateway without requiring infrastructure changes, and why that … More →

The post Mimecast makes enterprise email security deployable in minutes appeared first on Help Net Security.

Generative AI tools have brought the cost of deepfake production low enough that criminals and state-sponsored actors now use them routinely against financial institutions. A joint paper from the American Bankers Association, the Better Identity Coalition, and the Financial Services Sector Coordinating Council lays out the scale of the problem and calls on federal and state policymakers to act across various areas. Deepfake incidents in the fintech sector increased 700% in 2023 compared to 2022. … More →

The post Financial groups lay out a plan to fight AI identity attacks appeared first on Help Net Security.

Machine learning models built to catch malware on Windows systems are typically evaluated on data that closely resembles their training set. In practice, the malware arriving on enterprise endpoints looks different, comes from different sources, and in many cases has been deliberately obfuscated to evade detection. A study from researchers at the Polytechnic of Porto tests what happens when that gap is made explicit, and the results have direct implications for organizations relying on static … More →

The post Malware detectors trained on one dataset often stumble on another appeared first on Help Net Security.

HackerNews 编译，转载请注明出处： TrueConf 客户端视频会议软件中一个严重安全漏洞，在名为 “TrueChaos” 的针对东南亚政府机构的攻击活动中，被作为零日漏洞在实际中利用。 该漏洞编号为 CVE – 2026 – 3502（通用漏洞评分系统 CVSS 得分为 7.8），是在获取应用程序更新代码时缺乏完整性检查，攻击者借此可分发篡改后的更新，从而导致任意代码执行。本月早些时候发布的 TrueConf Windows 客户端 8.5.3 版本起已修复此漏洞。 Check Point 在今日发布的一份报告中称：“该漏洞源于对 TrueConf 更新验证机制的滥用，攻击者若控制本地 TrueConf 服务器，就能在所有连接的端点上分发并执行任意文件。” 换句话说，成功控制本地 TrueConf 服务器的攻击者，可将更新包替换为含恶意代码的版本，由于客户端应用程序对服务器提供的更新未进行充分验证以确保未被篡改，就会下载该恶意更新包。 已发现 “TrueChaos” 攻击活动利用更新机制中的这一漏洞，很可能将开源的 Havoc 命令与控制（C2）框架部署到易受攻击的端点。 这家网络安全公司在 2026 年初首次记录到利用该漏洞的攻击，客户端对更新机制的信任被利用，推送了恶意安装程序，进而通过 DLL 侧加载启动 DLL 后门。 研究还观察到，DLL 植入程序（“7z – x64.dll”）会执行手动操作进行侦察、设置持久化，并从 FTP 服务器（“47.237.15 [.] 197”）检索其他有效载荷（“iscsiexe.dll”）。“iscsiexe.dll” 的主要目的是确保执行一个良性二进制文件（“poweriso.exe”），通过该文件侧加载后门程序。 尽管此次攻击最终阶段所投放的确切恶意软件尚不清楚，但可以高度确信，其最终目标是部署 Havoc 植入程序。   Check Point 表示：“利用 CVE – 2026 – 3502 漏洞，攻击者无需逐个入侵每个端点。相反，攻击者滥用了本地中央 TrueConf 服务器与其客户端之间的信任关系。通过将合法更新替换为恶意更新，他们把产品的正常更新流程变成了跨多个相连政府网络的恶意软件分发渠道。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 通过向 Claude 助手输入简单指令，发现 Vim 和 GNU Emacs 这两款文本编辑器存在漏洞，用户打开文件时就可能导致远程代码执行。 Claude 助手不仅创建了多个版本的概念验证（PoC）利用代码，还对其进行了优化，并针对这些安全问题提供了解决建议。 Vim 和 GNU Emacs 是可编程文本编辑器，主要供开发者和系统管理员用于代码编辑、基于终端的工作流程以及脚本编写。特别是 Vim，在 DevOps 领域应用广泛，大多数 Linux 服务器发行版、嵌入式系统和 macOS 默认安装该编辑器。 Vim 漏洞及修复 Calif 是一家专注于人工智能红队测试和安全工程的小型网络安全公司，其研究员洪・阮（Hung Nguyen）指示 Claude 在这款文本编辑器中寻找由打开文件触发的远程代码执行（RCE）零日漏洞，进而发现了 Vim 中的问题。 Claude 助手分析了 Vim 的源代码，确定在模型行处理过程中存在安全检查缺失及相关问题，导致嵌入文件中的代码在文件打开时得以执行。 模型行是位于文件开头的文本，用于指示 Vim 如何处理该文件。 即便代码本应在沙箱中运行，但另一个问题使其能够绕过限制，并在当前用户环境中执行命令。 该漏洞尚未获得 CVE 编号，影响 Vim 9.2.0271 及更早的所有版本。 阮向 Vim 维护者报告了这一问题，后者迅速在 Vim 9.2.0272 版本中发布了补丁。Vim 团队指出，受害者只需打开特制文件即可触发该漏洞。 公告中称：“攻击者若能将特制文件发送给受害者，就能以运行 Vim 的用户权限执行任意命令。” GNU Emacs 与 Git 的关联 至于 GNU Emacs，该漏洞仍然存在，因为开发者认为这应由 Git 负责解决。 问题源于 GNU Emacs 的版本控制集成（vc – git），打开文件会通过 vc – refresh – state 触发 Git 操作，导致 Git 读取.git/config 文件并运行用户定义的 core.fsmonitor 程序，而这可能被滥用来运行任意命令。 研究人员设计的攻击场景包括创建一个归档文件（例如电子邮件或共享驱动器），其中包含一个隐藏的.git/ 目录，目录中的 config 文件指向一个可执行脚本。 当受害者解压归档文件并打开文本文件时，在 GNU Emacs 默认配置下，有效载荷会在无任何明显提示的情况下执行。 GNU Emacs 维护者认为这是 Git 的问题，而非文本编辑器的问题，因为该环境仅仅是触发 Git 执行危险操作的因素：读取攻击者控制的 config 文件并从中执行程序。 虽然从技术角度看，这一观点是正确的，因为在 GNU Emacs 中没有直接执行任何操作，但由于编辑器会在不受信任的目录中自动运行 Git，且未消除危险选项、未征得用户同意或采取沙箱保护措施，用户仍面临风险。 阮建议 GNU Emacs 可以修改对 Git 的调用，明确阻止 “core.fsmonitor”，这样在打开文件时，任何危险脚本或有效载荷就不会自动执行。 由于该漏洞在 GNU Emacs 最新版本中仍未修复，建议用户在打开来自未知来源或从网上下载的文件时务必谨慎。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 人工智能公司 Anthropic 表示，其意外泄露了 Claude Code 的源代码，该代码本为闭源。不过公司称，没有客户数据或凭证因此暴露。 尽管 Anthropic 承诺支持开源社区，但 Claude Code 一直保持闭源状态，至少在今天之前是如此。今天的一次更新意外包含了内部源代码。 Anthropic 在向 BleepingComputer 发布的声明中证实了此次泄露事件，并表示没有个人或敏感信息被公开。 Anthropic 告诉 BleepingComputer：“今天早些时候，一次 Claude Code 发布包含了一些内部源代码。没有敏感的客户数据或凭证卷入或暴露。这是由人为失误导致的发布打包问题，并非安全漏洞。我们正在采取措施防止此类事件再次发生。” 泄露的源代码首先被寿超凡（@Fried_rice）发现，随后在 GitHub 和其他存储平台上广泛传播。 泄露详情 今天早些时候，Anthropic 在 NPM 上短暂发布 Claude Code 2.1.88 版本时，不慎泄露了源代码。 这个版本包含一个 60MB 的文件 cli.js.map，其中包含最新版本的全部源代码。 源映射文件是一种调试文件，它将编译后的 JavaScript 代码与原始源代码关联起来。 如果映射文件包含一个名为 “sourcesContent” 的字段，该字段会将原始源文件的全文直接嵌入到映射中，那么就有可能从该文件重建整个源代码树。 这就是为什么在公共包中包含一个大的.map 文件可能会导致大量代码暴露的原因。 重建后的源代码包含大约 1900 个文件、50 万行代码，以及 Claude 的一些独有功能细节。 虽然源代码已在网上传播，但 Anthropic 已开始发出数字千年版权法案（DMCA）侵权通知，尽可能将其下架。 开发者的发现与分析 开发者们已开始分析源代码，寻找未记录的功能，并了解该应用程序的工作原理。 据亚历克斯・芬恩称，Anthropic 正在测试一种名为 “主动模式” 的新功能，在这种模式下，Claude 将全天候为你编写代码。这个模式在 Claude Code 源代码中被发现。 还有另一个有趣的功能引起了我们的注意。 它被称为 “梦想” 模式，在这种模式下，Claude 可以在后台持续思考，拓展思路，完善你当前的计划，并在你离开时尝试解决问题。 关于 Claude Code 使用限制的问题 另外，用户声称 Claude 悄悄降低了使用限制。这意味着，无论你是使用专业版计划还是最高级计划（5 倍用量），都会更快达到 Claude 的使用限制。 我个人在使用 Claude Personal（每月 20 美元）时就观察到了这种情况。在 Claude Code 终端向 Claude 发送几条消息后，我的用量就飙升至 30%，仅仅几分钟的交互后，用量就达到了 100%。 这并非预期的情况，尤其是考虑到交互内容量并不大，因为我才刚开始与 Claude 交流。 事实证明，这个问题很普遍，Anthropic 已确认正在调查一个导致使用限制更快耗尽的漏洞。 Anthropic 的莉迪亚・哈利在 X 平台上发文称：“我们知道大家在 Claude Code 中达到使用限制的速度比预期快得多。正在积极调查，有最新进展会及时分享。” 截至美国东部时间 3 月 31 日下午 2 点，该问题仍未解决，Anthropic 发布了以下最新消息： “（我们）仍在处理这个问题。这是团队的首要任务。我知道这给很多人带来了困扰。一有消息就会尽快告知大家。” 一些用户认为，鉴于 Claude 在过去几周的受欢迎程度不断上升，这可能是 Anthropic 的有意之举，但在没有该公司提供更多细节的情况下，我们无法确定这是否是有意为之。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国零售及商业金融服务巨头劳埃德银行集团披露了一起数据安全事件，该事件影响了近 45 万手机银行用户。 此次事件发生在 3 月 12 日，起因是一次软件更新出现故障，导致用户当前账户的交易细节泄露给其他用户。 不过据劳埃德银行称，只有在用户同时查看自己的交易列表时，交易信息才会被泄露。 劳埃德银行向英国财政委员会表示：“要看到他人的交易信息，且自己的交易信息也有可能被其他客户看到，一名客户必须在另一人查看交易列表的短短几分之一秒内，也查看自己的交易列表。” 劳埃德银行称，出现故障的更新于 3 月 12 日凌晨 3 点 28 分推出，问题于上午 8 点 08 分得到解决。此后该问题未再出现。 事件中泄露的数据类型因用户的操作而异。查看交易列表的用户可以看到其他用户的交易信息，包括金额、日期，以及可能包含国民保险号码的支付标识符。 更多泄露信息详情 点击单笔交易的用户可能看到诸如银行分行代码、账号、国民保险号码或车辆登记号码，以及在备注字段中输入的文本等信息。 劳埃德银行表示：“在某些情况下，可见的交易信息可能涉及非劳埃德银行集团客户的个人，例如从劳埃德银行集团客户账户向其他银行账户持有人转账的情况。” 这家银行巨头指出，用户的账户余额未受此次事件影响，并且 “客户无法对他人账户执行未经授权的操作或转移资金”。 劳埃德银行称：“遇到此问题的客户只能短暂查看他人的数据，而且这些可见信息本身并不足以让他人对个人银行账户实施欺诈。我们评估认为，这些可能被查看的信息也极不可能被广泛用于实施欺诈活动。” 这家银行巨头向财政委员会透露，在其 2150 万手机银行用户中，有 167 万人在事件发生期间登录了账户，但只有 447,936 名客户看到了其他用户的交易信息，或自己的交易信息被展示给了他人。 该行表示：“我们评估，在此期间最多有 114,182 名客户点击查看了单笔当前账户交易背后的详细信息，可能看到了单笔支付的相关信息。” 劳埃德银行还指出，它通过社交媒体向客户通报了这一事件，并向约 3625 名客户支付了约 13.9 万英镑（约合 18.36 万美元），作为 “对客户困扰和不便的善意补偿”。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 麒麟勒索软件声称入侵了陶氏公司，并将其列在暗网泄露网站上，但尚未公布入侵证据。 据悉，麒麟勒索软件组织疑似入侵了化工制造巨头陶氏公司，并将该公司列入其暗网数据泄露网站。不过截至目前，该组织尚未公布任何入侵证据。 陶氏公司是一家全球化工制造巨头，总部位于美国。该公司在全球拥有约 3.6 万名员工，年营收约 400 亿美元。其业务遍布 160 多个国家，为包装、基础设施、交通出行和消费应用等行业提供先进材料、化学品及塑料。 麒麟勒索软件自 2022 年开始活跃，在 2025 年成为最活跃的勒索软件即服务（RaaS）组织之一，每月宣称的受害者超过 40 家，6 月更是达到 100 家的峰值。 该组织允许其合作伙伴针对目标机构部署定制化的勒索软件有效载荷。麒麟采用双重勒索策略，不仅加密数据，还威胁通过暗网门户泄露数据。该组织利用网络钓鱼和已知漏洞，将全球多个行业作为攻击目标，包括医疗、制造和金融行业。 2025 年 10 月，睿仕管理（Resecurity）的研究人员详细披露了麒麟勒索软件即服务组织如何依靠全球 “无监管” 托管网络来支持其勒索行动。 10 月初，DragonForce、LockBit 和麒麟勒索软件组织组成勒索软件联盟，以提升攻击效力，这标志着网络威胁格局发生了重大变化。这一联盟旨在共享工具和基础设施，以增强攻击效果。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

A vulnerability identified as problematic has been detected in File Browser 0.4b14/1.0/2.0. This affects an unknown part of the component EPUB File Parser. The manipulation leads to cross site scripting. This vulnerability is uniquely identified as CVE-2026-34529. The attack is possible to be carried out remotely. No exploit exists. You should upgrade the affected component.

A vulnerability categorized as critical has been discovered in File Browser 0.4b14/1.0/2.0. Affected by this issue is some unknown functionality of the component Signup. Executing a manipulation can lead to permission issues. This vulnerability is handled as CVE-2026-34528. The attack can be executed remotely. There is not any exploit available. It is advisable to upgrade the affected component.

A vulnerability was found in WWBN AVideo up to 26.0. It has been rated as problematic. Affected by this vulnerability is an unknown functionality. Performing a manipulation results in cross site scripting. This vulnerability is known as CVE-2026-34716. Remote exploitation of the attack is possible. No exploit is available.

A vulnerability was found in Microsoft XmlNotepad. It has been declared as problematic. Affected is an unknown function of the component HTTP/SMB. Such manipulation leads to xml external entity reference. This vulnerability is traded as CVE-2026-34401. The attack may be launched remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in SiYuan up to 3.6.1. It has been classified as problematic. This impacts the function SanitizeSVG of the file /api/icon/getDynamicIcon. This manipulation causes cross site scripting. This vulnerability appears as CVE-2026-34605. The attack may be initiated remotely. There is no available exploit. Upgrading the affected component is recommended.

HackerNews 编译，转载请注明出处： 乌克兰网络安全官员称，一个亲俄黑客组织在一场网络钓鱼活动中，冒充乌克兰国家网络事件应急响应团队，将政府机构、企业及其他组织作为攻击目标。 乌克兰计算机应急响应小组（CERT-UA）的研究人员周日表示，被追踪为 UAC – 0255 的攻击者上周发送电子邮件，伪装成该机构。邮件警告收件人，俄罗斯据称正在准备针对乌克兰关键基础设施发动一场 “大规模网络攻击”。 这些邮件敦促收件人从文件共享服务 Files.fm 下载一个受密码保护的压缩文件，并安装所谓用于保护易受攻击系统的专业安全软件。黑客警告称，忽视该信息可能导致 “严重后果”。 该文件包含一款名为 AgeWheeze 的远程管理工具，攻击者可借此远程控制受感染的计算机。据 CERT-UA 称，该恶意软件具备多种功能，包括执行命令、管理文件和进程、传输屏幕内容、模拟鼠标和键盘输入以及访问剪贴板。 这些网络钓鱼邮件的目标涉及多个行业的组织，包括政府机构、医疗中心、金融公司、安保企业、大学和软件开发公司。 CERT-UA 表示，此次攻击活动大多未成功，仅造成少量感染，主要出现在教育机构员工的个人设备上。 该机构称，此次行动可能与 CyberSerp 黑客组织有关，该组织随后在其 Telegram 频道上宣称对此次攻击负责。CERT-UA 表示，他们在此次活动中使用的一个虚假网站代码中发现了 “来自 Cyber Serp 的爱” 这句话。 在 Telegram 的帖子中，该组织声称已向乌克兰广泛使用的电子邮件服务Ukr.net的约 100 万用户发送恶意邮件，并入侵了超 20 万台设备。CERT-UA 并未证实这些数据。 黑客还称赞了 CERT-UA 的调查，并感谢该机构为他们的 Telegram 频道进行 “宣传”。 新兴威胁行为者 CyberSerp 是一个相对较新的以乌克兰为目标的威胁行为者。其 Telegram 频道于 2025 年 11 月创建，该组织在频道中自称是一个 “网络游击队运动”，并声称来自乌克兰。 该组织此前曾试图在乌克兰招募合作者，承诺为 “有价值的信息” 支付报酬。 CyberSerp 还宣称对乌克兰网络安全公司 Cipher 的另一起所谓入侵事件负责，称其获取了该公司服务器的完整数据转储，包括内部通信记录以及据称包含政府机构的客户数据库。 Cipher 承认攻击者获取了其一家承包商一名员工的凭证，但表示公司核心基础设施未遭入侵。据该公司称，被入侵的账户仅能访问一个不包含敏感安全信息或个人数据的单一项目。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

A vulnerability was found in SiYuan up to 3.6.1 and classified as problematic. This affects an unknown function. The manipulation of the argument mAsse results in cross site scripting. This vulnerability is reported as CVE-2026-34448. The attack can be launched remotely. No exploit exists. It is suggested to upgrade the affected component.

A vulnerability has been found in Anthropic anthropic-sdk-typescript up to 0.80.x and classified as critical. The impacted element is an unknown function of the component Claude API. The manipulation leads to path traversal. This vulnerability is documented as CVE-2026-34451. The attack can be initiated remotely. There is not any exploit available. The affected component should be upgraded.