FreeBuf周报 | ChatGPT 被诱导自我注入攻击;Windows内核0Day漏洞遭野外利用提权
💡
原文中文,约2100字,阅读约需5分钟。
📝
内容提要
本周「FreeBuf周报」总结了网络安全热点,包括ChatGPT隐私数据泄露、Windows内核漏洞、AI企业敏感凭证泄露等,强调及时修补和加强安全防护的重要性。
🎯
关键要点
- ChatGPT被诱导自我注入攻击,存在七种新型手法窃取隐私数据。
- Windows内核0Day漏洞CVE-2025-62215已被利用,需立即修补。
- 65%顶级AI企业在GitHub泄露敏感凭证,面临模型窃取和数据泄露风险。
- GitHub Copilot与Visual Studio存在高危漏洞,可能导致安全防护功能被绕过。
- ChatGPT存在SSRF漏洞,攻击者可窃取机密数据,已修复。
- GlassWorm蠕虫利用隐形Unicode字符感染开源项目,需加强审查。
- 三星0Day漏洞被间谍软件LANDFALL利用,主要针对中东用户。
- runc曝出关键漏洞,攻击者可突破容器隔离,需立即升级。
- Chrome修复V8引擎高危漏洞,建议用户尽快更新。
- NVIDIA App漏洞允许攻击者执行恶意代码,建议用户升级至最新版本。
- AI安全工具面临即时注入攻击威胁,需构建多层防御体系。
- Microsoft SharePoint存在严重RCE漏洞,建议立即更新。
- Web缓存欺骗漏洞利用URL解析差异,需确保解析一致性以防御。
❓
延伸问答
ChatGPT的自我注入攻击是如何进行的?
攻击者利用间接提示注入、对话注入和滥用记忆功能等七种手法,诱骗ChatGPT泄露用户隐私数据。
Windows内核0Day漏洞CVE-2025-62215的影响是什么?
该漏洞允许攻击者提权至SYSTEM权限,影响所有Windows版本,需立即修补以防止控制深化。
AI企业在GitHub上泄露敏感凭证的风险有哪些?
泄露的敏感凭证可能导致模型窃取和数据泄露,云配置错误和密钥管理不当是主要原因。
GlassWorm蠕虫是如何感染开源项目的?
GlassWorm蠕虫利用隐形Unicode字符和区块链C2技术,感染VS Code扩展及GitHub仓库,威胁开发者。
如何防御Web缓存欺骗漏洞?
防御需确保源服务器与缓存服务器对URL解析的一致性,识别缓存规则与敏感端点。
NVIDIA App漏洞的严重性如何?
该漏洞允许本地攻击者执行任意代码并提权,CVSS评分为8.2,建议用户立即升级至最新版本。
➡️
