FreeBuf周报 | GPT存在七项零点击攻击漏洞;JS库React高危漏洞威胁数百万开发者
💡
原文中文,约2200字,阅读约需6分钟。
📝
内容提要
本周「FreeBuf周报」总结了多个安全漏洞,包括GPT-4o和React的高危漏洞,Android的AI反诈系统优于iOS,以及针对白俄罗斯军方的恶意攻击。Bugcrowd收购Mayhem Security以提升安全测试,CISA与NSA发布安全指南,强调更新和监控。
🎯
关键要点
- GPT-4o与GPT-5存在七项零点击攻击漏洞,数亿用户面临威胁。
- React高危漏洞(CVE-2025-11953)影响200万周下载量的NPM包,可能导致远程代码执行。
- Android的AI反诈系统月均拦截百亿次威胁,用户防骗成功率较iOS高58%。
- Sandworm APT利用LNK漏洞攻击白俄罗斯军方,疑似俄罗斯黑客组织所为。
- Bugcrowd收购Mayhem Security,推进AI驱动的人机协同安全测试。
- 黑客利用OneDrive的DLL侧加载漏洞执行任意代码,建议监控DLL加载。
- 谷歌AI工具Big Sleep发现Safari浏览器WebKit组件5个新漏洞,苹果已发布补丁。
- 卢浮宫盗窃案暴露严重IT安全隐患,十余年未更新过时系统。
- CISA警告Linux内核高危漏洞CVE-2024-1086被利用进行勒索软件攻击。
- CISA与NSA联合发布Microsoft Exchange Server安全指南,强调更新补丁和启用多因素认证。
➡️
