Aggregator

基于对一年多来人工智能在网络安全行业的发展与应用，我将从加、减、乘、除四个维度简要分析人工智能如何全面重构网络安全行业的底层逻辑。

ISC Stormcast播客更新于2025年9月23日，由值班处理员Guy Bruneau发布。当前威胁级别为绿色（较低），并提供DShield传感器、DNS查找玻璃等工具链接。

A vulnerability described as critical has been identified in Linux Kernel up to 6.1.147/6.6.101/6.12.41/6.15.9/6.16.0. Affected by this vulnerability is the function f2fs_evict_inode. Executing manipulation can lead to use after free. The identification of this vulnerability is CVE-2025-38577. The attack needs to be done within the local network. There is no exploit available. Upgrading the affected component is recommended.

A vulnerability categorized as critical has been discovered in Linux Kernel up to 6.1.147/6.6.101/6.12.41/6.15.9/6.16.0. Affected is the function f2fs_sync_inode_meta of the component f2fs. Such manipulation leads to use after free. This vulnerability is traded as CVE-2025-38578. Access to the local network is required for this attack to succeed. There is no exploit available. It is advisable to upgrade the affected component.

A vulnerability was found in Linux Kernel up to 6.1.147/6.6.101/6.12.41/6.15.9/6.16.0 and classified as problematic. Affected by this issue is some unknown functionality of the component EEH Module. Such manipulation leads to race condition. This vulnerability is listed as CVE-2025-38576. The attack must be carried out from within the local network. There is no available exploit. It is suggested to upgrade the affected component.

文章描述了错误代码521的情况，指出该错误通常由Cloudflare服务器与源服务器之间的连接问题引起，可能导致网站无法正常加载，并建议检查网络配置或联系管理员以解决问题。

HackerNews 编译，转载请注明出处： LastPass警告用户，有一项针对macOS用户的恶意软件攻击活动，通过伪装成流行软件并通过欺诈性的GitHub仓库传播。 这些假冒应用程序通过ClickFix攻击传播Atomic（AMOS）信息窃取型恶意软件，并通过搜索引擎优化（SEO）手段在Google和Bing上获得推广。 AMOS是一种恶意软件即服务（MaaS）运营，月租费用为1000美元，通常针对感染机器上的数据。 最近，恶意软件的开发者为其增加了后门组件，使攻击者能够在受感染的系统上保持持久和隐蔽的访问权限。 LastPass表示，除了他们的产品之外，这一攻击活动还伪装成了100多种软件产品，包括1Password、Dropbox、Confluence、Robinhood、Fidelity、Notion、Gemini、Audacity、Adobe After Effects、Thunderbird和SentinelOne等。 攻击者创建了大量欺诈性的GitHub仓库，使用多个帐户来规避封禁，并通过优化这些仓库，使它们在搜索结果中排名较高。 这些仓库中含有一个“下载按钮”，点击后会将用户引导到一个二级网站，用户在该网站上被要求在Terminal（终端）中粘贴命令以进行安装。 这是典型的ClickFix攻击，利用受害者不理解命令在他们的系统中做什么的漏洞。 该命令执行了一个curl请求，访问一个base64编码的URL，下载AMOS负载（install.sh）到/tmp目录中。 针对Apple电脑的ClickFix攻击并不罕见。 BleepingComputer曾报道过类似的攻击活动，其中伪装成Booking.com，最近也有广告推广假冒解决方案针对macOS特有的问题。 尽管LastPass继续监控这一活动并向GitHub报告假冒仓库，但攻击者可以通过新帐户的自动化轻松创建新的仓库。 为了避免成为ClickFix攻击的受害者，用户应谨慎执行自己不理解的命令。 在网上寻找软件时，建议信任供应商或项目的官方网站。如果官网没有提供macOS版本，那么该非官方版本很可能是假的。 对于macOS版本，用户应确保其来自经过社区验证的信誉良好的供应商。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

微软修复了Microsoft Entra ID中的严重安全漏洞，该漏洞允许黑客获取企业敏感数据和控制账户。研究人员于7月报告后，微软3天内完成修复，并于8月推出额外保护措施。此漏洞源于旧版身份验证技术的支持问题。

微软在Edge浏览器和Windows WebView中安装未受保护的DLL文件(domain_actions.dll和well_known_domains.dll)，允许其执行，绕过安全策略，构成潜在后门风险。

微软在Edge浏览器和Windows WebView中安装未受保护的DLL文件domain_actions.dll和well_known_domains.dll，易受篡改；AppLocker默认阻止用户可写位置执行DLL，但微软更新后允许这些DLL绕过限制。

Windows 11 24H2中SAFER出现漏洞，阻止SecurityHealthHost.exe运行，尽管路径规则允许其执行，默认规则优先导致问题。

libelf中的gmo2msg程序因lang参数过长导致栈溢出漏洞，利用sprintf未验证输入长度，可能导致程序崩溃或代码执行风险。

FlatPress v1.4.1 存在 Stored HTML Injection 漏洞，允许攻击者通过注入恶意 HTML 代码在页面中显示虚假警告框并收集用户凭证。

FlatPress 1.4.1 存在安全漏洞：更改密码时无需输入当前密码。攻击者可借此接管管理员账户。

Burning River CyberCon 2025 征集信息安全相关主题演讲，涵盖漏洞研究、红队等。投稿截至2025年10月1日，会议于11月15日举行。

附议题分享PPT获取方式

当前环境异常，需完成验证后方可继续访问。

欧盟计划修订电子隐私指令以简化Cookie同意提示规则,减少对用户的干扰和时间浪费,同时探索更有效的隐私保护方式。

文章描述了错误代码521的含义及其常见原因。该错误通常由Cloudflare触发，表示Web服务器返回了无效响应。常见原因包括服务器配置错误、超时、或服务器无法处理请求。解决方法可能包括检查服务器日志、优化配置或联系主机提供商寻求帮助。

HackerNews 编译，转载请注明出处： 阿姆斯特丹自由大学（Vrije Universiteit Amsterdam）的学术研究人员证实，在现实场景中，可利用 CPU 瞬时执行漏洞（transient execution CPU vulnerabilities）从公共云服务上运行的虚拟机（VM）中窃取内存数据。 研究表明，2018 年 1 月披露的英特尔处理器漏洞L1 终端故障（L1TF，又称 Foreshadow），以及被认为无法在新一代 CPU 上利用的 “半幽灵”（half-Spectre）漏洞组件（此前认为其无法直接泄露机密数据），二者结合后可用于从公共云环境中窃取数据。 上个月，这些研究人员发布了名为 “L1TF Reloaded” 的漏洞报告（PDF 文档）。该漏洞通过结合 L1TF 与 “半幽灵” 技术，绕过了当前广泛部署的软件防护措施，成功从谷歌云（Google Cloud）的虚拟机监控程序（hypervisor）及同一物理机上的其他租户（co-tenant）系统中窃取敏感数据。 研究人员指出：“我们基于一种新颖的‘指针追踪’技术（通过主机与客户机进行指针遍历），获取了在软件中手动执行‘二维页表遍历’所需的全部信息；借助这一能力，我们可将客户机的任意虚拟地址转换为主机物理地址，进而通过 L1TF 漏洞窃取受害者内存中的任意字节数据。” 漏洞背景与影响 L1TF 漏洞于 2018 年披露，披露当天恰逢臭名昭著的 “Spectre（幽灵）” 与 “Meltdown（熔断）” 漏洞公开。这三类漏洞的最终危害一致：攻击者可获取 CPU 在执行指令时意外访问、且已缓存到内存中的机密数据。 研究人员表示，尽管这类漏洞以往的现实影响有限（因攻击者需具备 “远程代码执行” 能力，才能触发 CPU 中的相关指令），但 “L1TF Reloaded” 的测试结果表明，公共云服务商面临的这类攻击具有实际可行性 —— 本质上，公共云服务商向客户提供的 “云服务”，相当于 “远程代码执行即服务”（remote code execution as a service）。 在云环境中，客户的虚拟化系统虽运行在同一硬件上，但彼此应被视为 “不可信对象”，因此需要针对 “Spectre” 等瞬时执行漏洞部署所有合理的防护措施。 攻击测试与结果 研究人员在谷歌云的 “单租户节点”（sole-tenant node，指仅分配给单个客户使用的物理服务器）上开展测试，结果显示：在 “高干扰环境”（noisy conditions）下，即便对主机或客户机的细节一无所知，仍能窃取目标虚拟机中 Nginx 服务器的 TLS 密钥，平均耗时 14.2 小时。 此次攻击的核心逻辑是：针对 Linux 系统 KVM（基于内核的虚拟机）子系统中的 “半幽灵” 漏洞组件，通过 “推测执行”（speculative execution）将内存中的数据加载到 L1 缓存中，随后利用 L1TF 漏洞从 L1 缓存中窃取这些机密数据。 具体而言，攻击者可从恶意虚拟机出发，实现三层数据窃取： 从主机操作系统（host OS）中窃取数据，识别该物理机上运行的其他虚拟机； 从目标客户机操作系统（guest OS）中窃取数据，了解目标虚拟机上正在运行的进程； 最终从目标虚拟机的 Nginx 服务器中窃取私有 TLS 密钥。 研究人员还在亚马逊云（AWS）上进行了相同攻击测试，但由于 AWS 部署了深度防御机制，最终仅能窃取非敏感的主机数据，无法获取核心敏感信息。 奖励与防护建议 谷歌为研究人员提供了测试所需的 “单租户节点”，并向其颁发了 151,515 美元奖金 —— 这是谷歌云漏洞奖励计划（Google Cloud VRP）的最高级别奖励，谷歌方面同时指出，这也是该计划首次发放此级别奖金。 研究人员强调：“我们的攻击表明，若仅针对单个瞬时执行漏洞进行孤立防护，效果十分有限 —— 攻击者可通过组合利用多个漏洞，不仅能绕过现有防御措施，还能构建更具破坏力的攻击原语（attack primitives）。而以下防护措施可有效阻止此类攻击：AWS 已部署的‘跨页表防护（XPFO）’与‘进程本地内存’机制，以及业内提议的‘地址空间隔离’或‘无机密数据虚拟机监控程序’方案。”   消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文