RSS 安全周 关注
SecurityWeek是一个领先的网络安全新闻、分析和技术新兴威胁提示来源,为企业和消费者提供。每一页都充满了简洁的文章和摘要,基于最近的事件和网络安全世界中的新兴问题。该网站适合初学者和专家,因为文章提供了足够的细节供新手了解,同时也足够吸引和信息丰富,以满足熟悉该主题的人。SecurityWeek经常更新,以确保所有用户都了解可能影响个人和企业计算的问题。更重要的是,SecurityWeek是一个优秀的资源,为IT和安全专业人士分享知识和职业发展。
RSS 安全周
笔记线程
其他新闻:谷歌安全裁员、奥迪 A6 被揭发、 Coupang 被罚 4 亿美元
其他值得关注的、可能未被广泛注意到的故事:ICS 设备暴露量保持平稳,但攻击面正在扩大;微软发布人工智能事件响应指南;IBM 和 AT&T 被指控掩盖黑客攻击。
业界对《克劳德寓言5》的反应:周五反馈
行业专业人士就《Fable 5》的多个方面发表评论,包括双重用途能力、保障措施和分级访问权限。
伊朗网络组织Handala声称Cal Water遭到黑客攻击
黑客发布了 5GB 数据,其中包括客户个人信息和 RTKBase 平台的凭证。
伊万提哨兵利用尝试击中蜜罐
该严重级别的操作系统命令注入漏洞允许攻击者以 root 权限执行任意代码。
Chrome 149 更新补丁 28 个漏洞
浏览器刷新解决了关键和严重安全缺陷,其中包括十余个释放后使用漏洞。
人类争议《寓言5》AI越狱
一位 AI 黑客声称在《Fable 5》发布后不久便实现了一种基于提示词(prompt-based)的越狱,但 Anthropic 表示这并非真正的越狱。
Google 确认 ShinyHunters 利用 Oracle PeopleSoft 零日漏洞
Oracle 已缓解 CVE-2026-35273,但尚未公开确认该漏洞是否已被在野外利用。
Oracle 针对 PeopleSoft 漏洞发布声明,回应零日攻击报告
Oracle 已针对 CVE-2026-35273 发布缓解措施,但尚未说明该漏洞是否已在 ShinyHunters 攻击中被零日利用。
警报疲劳正演变为一种独立的安全威胁
随着告警数量超出人工处理能力,组织正转向利用人工智能、自动化以及更深入的上下文信息,以从噪音中甄别出真实威胁。
CISA 指示联邦机构根据风险优先修补安全漏洞
新的 BOD 26-04 要求机构审查并更新漏洞管理策略,重点关注 KEV 目录条目。
OnyxC2 窃密工具为网络犯罪分子提供企业级窃取服务,月费 250 美元”
研究人员表示,OnyxC2 恶意软件针对超过 200 种应用程序和扩展,并通过加密载荷、DLL 侧加载以及内存执行技术来规避检测。
黑客利用 Langflow 漏洞进行远程代码执行
3 月披露的安全缺陷允许未认证的攻击者在系统上任意位置写入文件。
西门子表示,Desigo CC 文件被安全引擎标记为恶意软件
补丁文件中包含的 PowerShell 脚本似乎触发了多个安全引擎的误报。
FBI 查封了 13 个据称被中国官员用于针对并招募美国工人的网站
13 个据称与咨询公司有关联的网站,这些网站为现任及前任安全许可持有者招聘职位
Splunk,Palo Alto Networks 修复严重漏洞
这些安全缺陷可能允许攻击者创建或修改任意文件,并访问和修改受保护的资源。
“GreatXML”零日漏洞绕过BitLocker
该概念验证利用 Microsoft Defender 的离线扫描功能,在恢复模式下重启时生成 SYSTEM 级 Shell。
诺丁汉大学确认遭黑客攻击后数据泄露
ShinyHunters 黑客组织宣称对此次攻击负责,并泄露了超过 45 万个电子邮件地址及其他信息。
信息窃取者将数百万台设备转化为凭证盗窃机器
随着攻击者越来越倾向于使用被盗凭证而非漏洞利用,信息窃取器已成为勒索软件及其他网络犯罪活动获取访问权限的主要来源。
Cyera以120亿美元估值完成6亿美元融资
Cyera 被定位为世界上最有价值的私营网络安全公司之一,其总融资额超过 20 亿美元。
Aryon Security 完成 2900 万美元 A 轮融资”
在后神话时代,该公司的平台帮助组织在各环境中实施安全控制。
关键暖通空调和 UPS 漏洞可能让黑客干扰数据中心
Claroty 研究人员已分析 Vertiv UPS 网络卡以及 Trane Tracer SC+ 暖通空调控制器的安全性。
CISO论坛网络研讨会今日举行:2026年中期回顾
了解更多关于保护业务部门免受生成式 AI(影子 AI)未经监控使用的信息,以及构建和执行 AI 治理框架。
新型Windows零日漏洞利用工具“RoguePlanet”发布
利用 Microsoft Defender 中的竞态条件漏洞,该漏洞可导致本地权限提升为 SYSTEM。
AI 投入生产后:安全团队掌控局面的 12 种方法
安全团队不仅需要洞察 AI 应用,更需要一套可重复用于在生产环境中监控、调查和防御它们的框架。
ServiceNow 修补了针对部分客户利用的漏洞
该公司已更新托管的客户实例,以修复其据称自 4 月 7 日起已知悉的安全问题。
Fortinet 和 Ivanti 产品中的关键漏洞已修复
两个操作系统命令注入漏洞可被远程利用,无需身份验证即可执行任意代码。
ICS Patch Tuesday:西门子、施耐德电气和菲尼克斯接触器修复的安全漏洞
此外,罗克韦尔自动化宣布对其 OT 网络安全解决方案 SecureOT 进行了一些增强。
Microsoft 修补了 200 个漏洞
在最新的补丁星期二更新中修复的三个漏洞,在微软解决之前已被公开披露。
Adobe 修补了 123 个漏洞
Adobe Experience Manager 产品中已修复近一半的安全漏洞,其中大多数漏洞允许任意代码执行。
Anthropic 推出 Claude Fable 5:配备网络安全护栏的 Mythos 级人工智能
该人工智能巨头还宣布,Project Glasswing 合作伙伴现已获得升级后的 Mythos 5 的访问权限。
OpenSSL 发现与 AI 相关的高严重性漏洞并打补丁
最新的 OpenSSL 版本共修复了 18 个漏洞,其中包括许多可能由人工智能发现的漏洞。
Claude Mythos 通过快速漏洞利用创建,将 N 天缩短为 N 小时”
带有防护机制被禁用的公共 LLM 模型也能构建可运行的漏洞利用程序,从而增加补丁差距风险。
新平台利用密码学隐形技术保护 AI 构建的应用
Atsign 的 AI 架构师将加密保护应用于代理软件开发,旨在防止攻击者利用漏洞,通过使应用身份实际上不可见来实现这一目标。
SAP 修复了 NetWeaver 和 Commerce 中的关键漏洞
这些缺陷可能导致敏感信息泄露、内存损坏以及正常系统使用中断。
超过 100 个 NPM 和 PyPI 包在新出现的 Shai-Hulud 供应链攻击中受到波及
最新的自传播攻击变体被命名为 Miasma 和 Hades。
人工智能会终结漏洞赏金行业吗?
Anthropic 的 Mythos 正将漏洞发现加速至机器速度,迫使漏洞赏金行业和进攻性安全团队适应一个未来:发现缺陷已不再是难题。
Check Point VPN 零日漏洞遭 Qilin 勒索软件攻击利用
身份验证绕过漏洞允许攻击者在没有有效密码的情况下建立 VPN 连接。
谷歌补丁 2026 年第五次 Chrome 零日漏洞被利用
该漏洞被追踪为 CVE-2026-11645,由一名匿名研究人员于 4 月下旬报告。
安全公司筹集 3700 万美元用于自主进攻性安全平台
由 Yossi Torati、Omer Gull 和 Yuval Itzchakov 创立的公司已走出保密阶段。
人人都在进行 Vibe Coding,却没人告知安全团队
AI 驱动的开发是组织无法也不应阻止的,但必须加以治理。
WhatsApp 无视法院禁止黑客行为的命令,继续与间谍软件公司 NSO 合作
Meta 拥有的通讯应用正在向联邦法院提交一项针对 NSO 的藐视法庭令。
网络安全并购综述:2026 年 5 月宣布的 26 笔交易
Akamai、Check Point、Cisco、Cyera、Dragos、WatchGuard 和 Zscaler 宣布的重大网络安全并购交易。
Everest Forms 漏洞被利用以入侵 WordPress 网站
该漏洞允许攻击者远程执行任意代码,且已在野外被利用长达两个月。
174,000人受兰辛社区学院数据泄露影响
2025 年 2 月,黑客访问了兰辛社区学院某些系统中存储的个人资料。
“静默赎金集团”在攻击中使用 DNS 快速切换技术
该勒索软件团伙专注于攻击美国律师事务所,并利用快速切换技术隐藏其命令与控制基础设施。
OpenAI 推出 ChatGPT 账户安全控制
AI 巨头正在扩大“活动会话”和“锁定模式”功能的可用范围。
Anthropic 呼吁行业协调,以便在风险增加时能够对人工智能发展实施“暂停”
所提议的协调机制将允许先进的 AI 实验室核实全球竞争对手是否确实停止或减缓了其工作。
SolarWinds Serv-U 漏洞被野外利用
未经身份验证的攻击者可通过精心构造的 POST 请求利用该漏洞,导致 Serv-U 服务崩溃。
Meta 表示,20,000 个 Instagram 账户因滥用 AI 工具而被黑客入侵
这家社交媒体巨头已告知当局近期涉及账户恢复支持工具的袭击所造成的影响。
Emphere 筹集 210 万美元用于 AI 驱动漏洞修复
Emphere 的解决方案为软件公司提供 AI 驱动的修复服务,以加快发布速度。