Aggregator

A vulnerability classified as problematic has been found in Huawei HarmonyOS 5.0.1/5.1.0. Affected by this vulnerability is an unknown functionality of the component Multi-mode Input Module. The manipulation leads to improper control of resource through lifetime. This vulnerability is traded as CVE-2025-54619. An attack has to be approached locally. There is no exploit available.

A vulnerability, which was classified as critical, was found in Huawei HarmonyOS 5.0.1/5.1.0. This vulnerability affects unknown code of the component Devicemanager Module. Such manipulation leads to authentication bypass by primary weakness. This vulnerability is uniquely identified as CVE-2025-54622. The attack can only be initiated within the local network. No exploit exists.

A vulnerability has been found in Huawei HarmonyOS 5.0.1/5.1.0 and classified as critical. This issue affects some unknown processing of the component Devicemanager Module. Performing manipulation results in integer overflow to buffer overflow. This vulnerability was named CVE-2025-54623. The attack needs to be approached within the local network. There is no available exploit.

A vulnerability classified as problematic was found in Intelbras InControl 2.21.60.9. This vulnerability affects unknown code of the file /v1/operador/ of the component JSON Endpoint. Executing manipulation can lead to information disclosure. This vulnerability is registered as CVE-2025-8515. It is possible to launch the attack remotely. Furthermore, an exploit is available. Upgrading the affected component is advised.

A vulnerability identified as problematic has been detected in GTK GdkPixbuf. Impacted is an unknown function of the component GIF LWZ Decoder. The manipulation leads to information disclosure. This vulnerability is listed as CVE-2025-6199. The attack may be initiated remotely. There is no available exploit.

A vulnerability was found in nbd nbdkit. It has been classified as problematic. The impacted element is an unknown function of the component Blocksize Filter. The manipulation leads to denial of service. This vulnerability is traded as CVE-2025-47712. Access to the local network is required for this attack to succeed. There is no exploit available.

A vulnerability was found in fluent-bit 3.7.2. It has been classified as problematic. This vulnerability affects the function cfl_list_size in the library cfl_list.h. Performing manipulation results in denial of service. This vulnerability is known as CVE-2025-29478. Attacking locally is a requirement. Furthermore, an exploit is available.

苹果发布iOS 18.6.2等版本修复高危安全漏洞CVE-2025-43300，该漏洞位于Image I/O框架中，处理恶意图像可能导致内存损坏。已有证据显示黑客正利用此漏洞针对特定人群发起攻击。苹果通过改进边界安全检查修复问题，并建议用户立即更新至最新版本以确保安全。

科隆游戏展开幕夜公布了多款游戏动态，《使命召唤：黑色行动7》定档11月14日，《天外世界2》将于10月29日发售，《生化危机：安魂曲》和《黑神话：钟馗》正式公开，《空洞骑士：丝之歌》确认年内发售。

谷歌在Pixel 10宣传中明确指出IP68防护等级并非完美无缺，设备进水后将失去保修。苹果曾因夸大防水性能而被集体诉讼。谷歌的做法更透明地告知消费者防水防尘的局限性。

文章介绍了错误代码521的原因及解决方法。该错误通常由Cloudflare返回，表示服务器配置问题或网络连接不稳定。常见原因包括服务器未正确配置SSL/TLS协议、网络防火墙阻止请求或服务器负载过高。解决方法包括检查网络连接、清除浏览器缓存、更换DNS服务器或联系网络管理员以排查问题。

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，黑客正日益滥用AI驱动的建站托管平台Lovable批量生成钓鱼页面、恶意软件分发门户及各类欺诈网站。这些通过该平台创建的恶意网站通过仿冒知名品牌，并设置验证码（CAPTCHA）等流量过滤系统阻挡机器人检测。 尽管Lovable已采取措施防范平台滥用，但随着AI建站工具激增，网络犯罪的技术门槛持续降低。 Lovable平台攻击活动分析 网络安全公司Proofpoint表示，自2025年2月以来“已观测到数万个Lovable生成的恶意链接”通过电子邮件传播。研究人员在最新报告中披露了四类滥用该平台的攻击活动： 1、Tycoon钓鱼即服务攻击 攻击邮件包含托管于Lovable的链接，用户通过验证码后会被重定向至伪造的Microsoft登录页面（仿冒Azure AD或Okta界面）。这些网站通过中间人攻击技术窃取用户凭证、多因素认证令牌及会话Cookie。攻击者曾向5,000家机构发送数十万封钓鱼邮件。   2、支付与数据窃取欺诈 冒充UPS物流的钓鱼邮件发送近3,500封，内嵌链接将受害者导向Lovable构建的钓鱼网站。这些页面要求输入个人信息、信用卡号及短信验证码，数据通过Telegram渠道外泄至攻击者。   3、加密货币窃取活动 近万名用户收到仿冒DeFi平台Aave的钓鱼邮件（经SendGrid发送）。受害者被诱导至Lovable生成的跳转链接和钓鱼页面，在连接加密钱包后遭遇资产窃取。   4、恶意软件分发行动 攻击邮件内含链接，将用户导向伪装成发票门户的Lovable应用页面。该页面分发托管于Dropbox的RAR压缩包，内含合法签名程序与恶意DLL文件，最终通过DLL侧加载技术释放远程访问木马zgRAT。 平台响应措施 Lovable于2025年7月推出新防护机制：实时检测系统可在用户输入指令时阻止恶意网站创建，同时每日自动扫描已发布项目并删除欺诈内容。该公司声明将在秋季推出账户级滥用检测功能，主动封禁违规账户。 第三方测试显示，目前仍可利用Lovable生成仿冒大型零售商的欺诈网站且未被拦截。针对现有反滥用措施有效性的质询，Lovable暂未回应。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

Duplicate File Finder for Mac 是一款专业的重复文件清理工具，支持相似照片识别和文件夹合并，并通过逐字节比较确保安全高效地清理存储空间。

源于监测猴子实际事件

Currently trending CVE - Hype Score: 13 - Untrusted data inclusion in pg_dump in PostgreSQL allows a malicious superuser of the origin server to inject arbitrary code for restore-time execution as the client operating system account running psql to restore the dump, via psql meta-commands. pg_dumpall is also affected. ...

苹果修复了影响iOS、iPadOS和macOS操作系统的零日漏洞CVE-2025-43300，该漏洞已被用于定向攻击。

文章讨论了错误代码521的问题，解释其含义及常见原因，并提供了排查和解决的方法。

HackerNews 编译，转载请注明出处： 研究人员发现GPT-5存在安全漏洞：用户获得的回答可能并非来自GPT-5本身。这一漏洞源于其内部路由机制存在类似SSRF（服务器端请求伪造）的缺陷。 当用户向GPT-5提问时，答案未必由GPT-5生成。该模型内置初始路由解析器，会根据问题内容决定调用哪个子模型处理请求——可能是用户预期的GPT-5 Pro，但也可能被路由至GPT-3.5、GPT-4o、GPT-5-mini或GPT-5-nano等旧版或精简版模型。 这种动态路由机制的设计初衷可能是平衡效率与成本：通过将简单查询导向更轻量、快速的模型，避免始终调用推理能力强大但运行成本高昂的GPT-5核心模型。据Adversa AI公司估算，该机制每年可为OpenAI节省约18.6亿美元开支，但运作过程完全不透明。 更严重的是，Adversa研究人员发现用户可通过特定“触发短语”操纵路由决策，强制将查询导向指定模型。该漏洞被命名为PROMISQROUTE（全称为“提示诱导路由操纵漏洞”）。“这本质上是针对路由器的规避攻击，”Adversa AI联合创始人兼CEO亚历克斯·波利亚科夫解释，“我们操纵了原本简单的路由决策流程，决定哪个模型应处理请求。” 虽然路由机制并非OpenAI独有（其他服务商通常允许用户手动选择模型），但此类自动化路由正越来越多地出现在智能体架构中——即由某个模型决定如何将请求传递至其他模型。 该漏洞是Adversa在测试GPT-5拒绝机制时偶然发现的。某些提问会引发无法解释的回复矛盾，使研究人员怀疑响应来自不同模型。他们观察到部分旧版越狱手段突然复活，且当提问中刻意提及旧模型时，即使GPT-5本身能阻止的越狱行为也会成功。 被动风险与主动威胁 单纯的路由错误已可能引发严重后果：例如不同模型具有差异化倾向与缺陷，若查询被导向能力较弱或安全校准不足的模型，可能增加幻觉输出或不安全内容的概率。 但真正的危险在于：攻击者可利用路由漏洞将恶意查询导向安全性较低的旧模型，从而绕过GPT-5 Pro的防护机制。“假设攻击者试图用越狱指令攻击GPT-5失败后，只需在提问前添加简单指令诱骗路由器将请求发送至存在漏洞的旧模型，”波利亚科夫指出，“先前失败的越狱就可能成功执行。” 这意味着尽管GPT-5 Pro自身安全性优于前代，但路由漏洞使其实际防护能力等同于最弱的前代模型。 安全与成本的矛盾 解决方案看似简单——禁用向弱安全模型的路由即可，但这将损害商业利益：完全依赖GPT-5 Pro会显著降低响应速度（影响用户体验），且每项查询都调用高成本模型将压缩OpenAI利润空间。 波利亚科夫建议：“OpenAI需提升安全性，例如在路由器前增设防护层、增强路由机制本身的安全性，或确保所有子模型（而非仅核心模型）均达到安全标准——最理想的是同时实施这三项措施。”       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

YouTube允许免费用户缓存低质量视频离线观看（144P/360P），高分辨率（720P/1080P）需开通完整版YouTube Premium订阅。Lite版订阅不支持下载功能。

一年一度专属SRC中秋福利活动，别错过！