FreeBuf周报 | 新供应链攻击波及40余npm软件包;苹果紧急修复ImageIO零日漏洞
💡
原文中文,约2300字,阅读约需6分钟。
📝
内容提要
本周「FreeBuf周报」总结了多个安全事件,包括npm仓库攻击、苹果修复ImageIO漏洞、Chrome更新V8引擎漏洞、FlowiseAI高危漏洞,以及朝鲜黑客利用AI伪造证件的攻击。此外,Windows截图工具Greenshot也存在高危漏洞。建议用户及时更新软件以降低风险。
🎯
关键要点
- npm仓库遭供应链攻击,40余个软件包被篡改,建议卸载受影响包并监控异常活动。
- 苹果修复ImageIO高危零日漏洞,用户需立即安装更新以防止内存损坏。
- Chrome紧急更新修复V8引擎零日漏洞,攻击者可远程执行代码,需立即更新。
- FlowiseAI曝高危漏洞,攻击者可接管任意账户,建议启用多因素认证。
- Linux内核ksmbd模块存在高危漏洞,攻击者可远程控制并执行代码,相关补丁已发布。
- LG WebOS智能电视曝高危漏洞,攻击者可完全控制设备,建议用户更新固件。
- 中国用户遭SEO定向投毒攻击,恶意软件通过仿冒软件网站传播。
- 朝鲜黑客利用AI伪造军人证件实施钓鱼攻击,强调终端防护的重要性。
- Windows截图工具Greenshot曝高危漏洞,允许攻击者执行任意代码,建议立即升级。
- Cloudflare API服务中断事件源于软件漏洞与服务更新的叠加效应。
➡️
