FreeBuf早报 | JS库React高危漏洞威胁数百万开发者;卢浮宫盗窃案背后Windows安全更新延误十年
💡
原文中文,约2400字,阅读约需6分钟。
📝
内容提要
全球网络安全事件包括:React高危漏洞威胁开发者,卢浮宫盗窃案暴露IT安全隐患,谷歌修复Safari和Android漏洞,Bugcrowd收购Mayhem Security以增强安全测试,黑客利用PHP漏洞进行加密劫持,Microsoft Teams漏洞导致消息篡改,间谍组织利用Android漏洞进行攻击。
🎯
关键要点
- React高危漏洞(CVE-2025-11953)威胁数百万开发者,影响200万周下载量的NPM包,已发布补丁。
- 卢浮宫盗窃案暴露IT安全隐患,十余年未更新过时系统,促使紧急升级安全协议。
- 谷歌AI工具Big Sleep发现苹果Safari浏览器WebKit组件5个高危漏洞,苹果已发布补丁。
- Bugcrowd收购Mayhem Security,推进AI驱动的人机协同安全测试,帮助快速发现修复漏洞。
- SesameOp恶意软件滥用OpenAI Assistants API进行隐蔽通信,凸显新兴技术被武器化的安全风险。
- 谷歌修复Android关键远程代码执行漏洞,影响Android 13-16,未发现利用活动。
- 现代软件供应链攻击转向社会工程和注册表滥用,需强化认证和CI/CD流程。
- 黑客利用ThinkPHP与PHP漏洞发起加密劫持攻击,云服务成主要攻击源。
- Microsoft Teams漏洞使攻击者可冒充同事篡改消息,部分漏洞已修复,完全修复需至2025年。
- 全球间谍组织利用Android漏洞实现邮件客户端一键RCE与账户劫持,警示移动端间谍活动升级。
➡️
