IT之家 5 月 6 日消息,据 Techcrunch 报道,一个几乎影响所有版本 Linux 操作系统的高危安全漏洞,令安全防护人员猝不及防、紧急抢修。此前安全研究人员公开放出了该漏洞的利用代码, 攻击者可借此完全控制存在漏洞的系统。 美国政府表示,这一被命名为 CopyFail(复制失效)的漏洞目前已在野外被实际利用, 意味着恶意黑客活动正在频繁借助该漏洞发起攻击。 据IT之家了解,该漏洞官方编号为 CVE-2026-31431, 发现于 Linux 内核 7.0 及更早版本 。研究人员在 3 月下旬向 Linux 内核安全团队披露了该漏洞,约一周后官方完成补丁修复。但目前补丁尚未全面推送至众多依赖该内核的 Linux 发行版,所有搭载受影响 Linux 版本的系统都面临被入侵的风险。 Linux 广泛应用于企业环境,全球绝大多数数据中心的服务器均基于 Linux 系统运行。 CopyFail 官方网站称,仅需一段简短的 Python 脚本,就能攻陷 2017 年以来发布的所有 Linux 发行版。发现该漏洞的安全公司 Theori 证实,红帽企业 Linux 10.1、Ubuntu 24.04 长期支持版、亚马逊 Linux 2023、SUSE 16 等多款主流 Linux 版本均受此漏洞影响。 运维开发工程师约赖恩・斯克里弗斯霍夫在博客文章中表示,该漏洞利用程序同样可作用于 Debian、Fedora 各版本,以及依赖 Linux 内核的容器编排平台 Kubernetes。他称该漏洞波及范围异常广泛,几乎覆盖所有主流现代 Linux 发行版。 该漏洞被命名为 CopyFail,原因是 Linux 内核(操作系统核心,拥有设备全部权限)中的受影响组件,在理应复制特定数据时未执行复制操作。这会造成内核内部敏感数据损坏,进而让攻击者借助内核权限,掌控系统其余所有资源及数据。 一旦被利用,该漏洞危害极大:普通低权限用户可借此获取受影响 Linux 系统的最高管理员权限。若数据中心某台服务器遭攻陷,攻击者可能获取大量企业客户的所有应用、服务器与数据库权限,还可能渗透入侵同一网络或数据中心内的其他设备。 该漏洞无法直接通过互联网远程利用,但可与互联网可利用漏洞组合捆绑攻击。据微软说明,若将 CopyFail 漏洞与另一款可远程投递的漏洞链式利用,攻击者就能获取受影响服务器的最高 root 权限。此外,运行存在漏洞内核的 Linux 设备用户,也可能被诱导点击恶意链接、打开恶意附件,触发该漏洞。 该漏洞还可通过供应链攻击植入:不法分子入侵开源开发者账号,在代码中植入恶意程序,一次性入侵大批量终端设备。 鉴于该漏洞对联邦企业网络构成严重威胁,美国网络安全和基础设施安全局(CISA)已下令所有联邦民用机构,务必在 5 月 15 日前完成所有受影响系统的漏洞补丁修复。
IT之家 5 月 1 日消息,Anthropic 面向所有 Claude Enterprise 用户,开放 Claude Security 公测版。该工具基于 Claude Opus 4.7 模型打造,企业无需构建自定义智能体或 API 集成, 只需指向 GitHub 仓库即可启动扫描。 在防御方式方面,不同于基于规则的静态分析工具,Claude Security 以人类研究员的方式推理代码,理解组件交互与数据流向,从而洞察复杂漏洞。 每项发现均经过多阶段验证管道,模型为降低误报率会自我质疑,并按实际可利用性评定高、中、低严重级别。 在实际检测能力方面,前代模型 Opus 4.6 在生产开源代码库中发现了 500 多个漏洞,这些漏洞在经过专家多年审查后依然隐藏数十年。 而 Claude Security 自 2 月以来的封闭测试中,数百家组织也利用该工具找出了现有工具遗漏的生产代码漏洞。 在功能方面,IT之家援引博文介绍,公测版引入了多项实用功能,团队可设定周期性扫描以契合冲刺节点,支持限定大型单体仓库的特定目录以提升成功率。 此外,驳回记录可附带原因形成审计追踪,结果支持导出 CSV 或 Markdown,并通过 Webhook 实时推送至 Slack 或 Jira 等系统。 生态合作方面,CrowdStrike 等安全厂商正将 Opus 4.7 嵌入其平台,埃森哲等咨询公司则协助企业部署集成了 Claude 的安全方案。目前工具仅支持 GitHub 仓库,Claude Team 和 Max 计划用户即将获得访问权。
IT之家 4 月 30 日消息,科技媒体 cyberkendra 昨日(4 月 29 日)发布博文,报道称 Linux 内核爆出高危漏洞 Copy Fail,追踪编号为 CVE-2026-31431, 仅需一个 732 字节的 Python 脚本,就能攻破几乎所有主流 Linux 发行版本,提权至最高的 root 权限。 IT之家援引博文介绍,大多数 Linux 提权漏洞需要满足于竞态条件、内核版本匹配、以及编译好的有效载荷等,而本次曝光的 Copy Fail 漏洞完全消除了这些条件,是一个简单的直线逻辑缺陷。 该漏洞的根源涉及 AF_ALG 加密接口、splice () 系统调用以及 2017 年引入的一项代码优化。这三者结合导致攻击者能将恶意数据写入内核页缓存,进而篡改 / usr / bin / su 等可信二进制文件。相较于历史上的 Dirty Cow 或 Dirty Pipe,此漏洞利用更稳定、更简单,成功率极高。 漏洞影响范围极广,涵盖 2017 年至补丁发布前构建的内核版本。特别值得注意的是,由于 Linux 页缓存在容器边界间共享,受感染的容器或 Pod 可利用此机制篡改宿主机缓存文件,从而实现容器逃逸。攻击者可能利用这一特性,威胁云原生环境及多租户架构。 研究人员利用该漏洞编写了一个 732 字节的 Python 脚本,在 Ubuntu、Amazon Linux、RHEL 及 SUSE 四个主流 Linux 发行版上,测试发现 Linux 6.12、6.17 和 6.18 均存在问题,每次都成功获取了 root shell。 发现过程结合了人类洞察与 AI 工具。研究员 Taeyang Lee 识别出攻击面后,利用 AI 辅助审计工具 Xint Code 扫描 crypto / 子系统,仅耗时约 1 小时便定位到这一最高严重性漏洞。 针对该漏洞的修复补丁(提交号 a664bf3d603d)已发布,主要回退了 2017 年的优化代码。若无法立即更新,管理员可通过禁用 algif_aead 内核模块或配置 seccomp 策略阻止 AF_ALG 套接字创建来缓解风险。
IT之家 4 月 29 日消息,安全机构 Wiz Research 昨日(4 月 28 日)发布博文,披露 GitHub 存在严重漏洞 CVE-2026-3854。攻击者仅需一条标准 git push 命令, 即可触发远程代码执行,进而访问数百万公共和私有仓库。 该漏洞追踪编号为 CVE-2026-3854,任何经过身份验证的用户只需执行标准的 git push 命令,就能在 GitHub 后端服务器上执行任意代码。 GitHub 远程代码执行漏洞 CVE-2026-3854 该漏洞源于 GitHub 内部 X-Stat 标头的注入缺陷。X-Stat 是一个用分号分隔的协议,负责在内部服务间传递安全元数据。 当用户运行带有选项的 git push 命令后,GitHub 的 babeld 代理会直接将用户提供的字符串嵌入 X-Stat 标头,且未过滤分号。 由于标头解析器采用“最后写入生效”逻辑,攻击者只需注入分号和字段名,就能悄悄覆盖服务器已设定的安全配置。研究员将三个注入字段串联,成功实现完整的远程代码执行。 根据博文披露的攻击路径,为了绕过生产沙箱,攻击链首先覆盖 rails_env 字段,接着通过 custom_hooks_dir 重定向钩子脚本目录。 最后,攻击者利用 repo_pre_receive_hooks 投递路径遍历有效载荷,迫使系统以 git 服务用户身份执行任意安装文件,从而获取完整的文件系统访问权限。 在 GitHub 企业版服务器(GHES)上,这会导致服务器完全沦陷。而在 GitHub.com 上,攻击者注入额外标志触发企业模式行为后,同样能入侵共享存储节点。这些节点托管着数百万账户仓库,攻击者借此可读取任意代码数据。 GitHub 在接获报告后 6 小时内修复了云端平台,并发布 GHES 补丁。然而 Wiz 警告,目前仍有 88% 的 GHES 实例未升级,管理员必须立即更新至 3.19.3 或更高版本。 此次漏洞挖掘过程使用了 AI 辅助逆向工程工具 IDA MCP,这是安全界首次利用 AI 工具在闭源安装文件中发现如此严重的底层漏洞,证明 AI 技术正在重塑复杂的安全研究工作流。 IT之家附上参考地址 Securing GitHub: Wiz Research uncovers Remote Code Execution in GitHub.com and GitHub Enterprise Server (CVE-2026-3854)
IT之家 4 月 26 日消息,在即将结束的 Linux 7.1 内核合并窗口期中,LoongArch 架构支持迎来一系列更新,获得多项底层能力增强。 根据提交内容,Linux 7.1 已能够更准确地展示并处理龙芯 CPU 漏洞信息,同时为 BPF JIT 引入更多原子指令支持,并扩展了 BPF 跳板(trampoline)的功能特性。此外,还包括缓存维护、系统调用路径及日志等方面的多项优化与修复。 较为意外的是,此拉取请求中还包含了针对 LoongArch 的 32 位支持工作。本次更新新增了 HIGHMEM(IT之家注:包括 PKMAP 与 FIX_KMAP)支持,主要面向 32 位环境,以提升对更大内存空间的访问能力。与此同时,Linux 构建体系也针对 32 位与 64 位配置进行了调整,并补充了围绕 CONFIG_32BIT 的相关处理逻辑。 其他改动还包括对 jump_label 的指令缓存维护进行批处理优化、新增全局与本地 icache 刷新接口、为系统调用分发表引入 Spectre 边界保护,以及改进 KASLR 关闭时的日志记录机制。此外,更新还对 FPU 寄存器状态对齐进行了优化,并调整了中断相关逻辑与栈保护初始化方式。 在 BPF 子系统方面,LoongArch 架构新增对 load-acquire 与 store-release 指令的支持,同时扩展了读-改-写原子操作能力,并提升 trampoline 对函数参数(最多支持 12 个参数及小型结构体参数)的处理能力。
IT之家 4 月 26 日消息,4 月 23 日,OpenAI 启动针对 GPT-5.5 的生物安全漏洞赏金计划,邀请研究人员寻找能突破“五道生物安全挑战题”的通用越狱方法。 计划概览 测试范围:仅限 Codex Desktop 中的 GPT‑5.5 模型。 挑战任务:找出一个通用的越狱提示词,使其在干净的对话环境中成功回答全部五道生物安全问题,且不触发任何内容审核机制。 奖励: 首个通过全部五道题目的真实通用越狱方案将获得 $25,000 奖励。 对于部分成功的案例,我们将根据情况酌情发放较小金额的奖励。 时间安排:2026 年 4 月 23 日开放申请并进行滚动录取。截止日期为 6 月 22 日。测试阶段将于 2026 年 4 月 28 日开始,7 月 27 日结束。 准入机制:采取申请及邀请制。我们将向经过审核的生物安全受信红队人员名单发送邀请,并审核新申请。入选者将入驻生物安全漏洞赏金平台。 信息披露:所有提示词、模型回复、发现成果及沟通记录均受保密协议 (NDA) 约束。 IT之家注意到,OpenAI 公司 4 月 23 日推出 GPT-5.5 模型,是其迄今最智能、最直观的 AI 模型,在 Agentic Coding、计算机使用及科研领域表现卓越,相比较 GPT-5.4,在完成相同任务的情况下减少词元(Token)消耗。 相关阅读: 《 OpenAI 最智能 AI 模型:GPT-5.5 登场,Token 成本降至 1/35、每兆瓦输出提升 50 倍 》
IT之家 4 月 25 日消息,华尔街日报昨日(4 月 24 日)发布博文,报道称 OpenAI 首席执行官山姆 · 奥尔特曼(Sam Altman)致信加拿大坦布勒里奇镇(Tumbler Ridge), 就未及时向警方通报大规模枪击案嫌疑人的活动记录正式道歉。 IT之家援引博文介绍,这起悲剧发生于今年 2 月,共造成 8 人死亡,嫌疑人为 18 岁的杰西 · 范鲁特塞拉尔(Jesse Van Rootselaar)。在 4 月 23 日的信函中,奥尔特曼表达了最深切的哀悼,并对公司未能更早采取行动表示歉意。 报道指出 OpenAI 的自动审核系统于 2025 年 6 月曾标记范鲁特塞拉尔的 ChatGPT 账户,因其信息涉及暴力场景描述,公司随即封禁了该账户。 部分员工将其内容视为现实暴力的潜在预警,并敦促领导层联系加拿大执法部门。然而,公司高层最终决定不向当局通报,这一决策在悲剧发生后引发了巨大争议。 警方在 2 月确认范鲁特塞拉尔为嫌疑人后,OpenAI 发现她还持有第二个 ChatGPT 账户。奥尔特曼在信中重申了此前对坦布勒里奇镇长及不列颠哥伦比亚省省长的承诺,即致力于寻找防止此类悲剧重演的方法。他表示,公司将继续与各级政府合作,确保类似事件不再发生。 OpenAI 表示,自枪击事件发生后,公司已加强安全协议。根据强化后的执法转介规则,如果再次发现类似范鲁特塞拉尔的账号行为, 公司将把相关信息移交给执法部门。 不列颠哥伦比亚省省长戴维 · 伊比表示,公共安全部已获悉警方调查进入最后阶段。坦布勒里奇镇长达里尔 · 克拉科夫卡称,镇民仍在悲伤中,疗愈过程漫长而艰难。
IT之家 4 月 25 日消息,卡巴斯基于 4 月 23 日发布博文, 披露称在高通骁龙芯片中发现硬件级漏洞,影响 MDM9x07、MSM8916 等多个系列芯片。 高通已于 2025 年 4 月确认该漏洞,追踪编号为 CVE-2026-25262,相关研究报告已在 Black Hat Asia 2026 上披露。 该漏洞影响 MDM9x07、MSM9x45、MSM8916 及 SDX50 等多个系列芯片,广泛用于智能手机、平板电脑、汽车组件及物联网设备。 漏洞位于硬件层嵌入的 BootROM 固件中,攻击者利用该缺陷可绕过关键安全防护,破坏安全启动链,进而部署恶意后门并完全控制设备。 研究人员揭示,攻击者利用 Sahara 协议的通信缺陷实施攻击。Sahara 协议用于设备紧急下载模式,是操作系统启动前加载软件的低级通信系统。 安全缺陷允许拥有物理访问权限的攻击者入侵应用处理器,潜在窃取用户输入的密码、文件、通讯录及位置信息,并能调用摄像头与麦克风进行监控。此类攻击无需复杂工具,仅需几分钟物理接触即可完成设备感染。 该漏洞威胁范围远超终端用户场景,延伸至供应链与设备维修环节。专家警告,此类恶意软件难以检测与清除,受感染系统可能模拟重启状态欺骗用户,仅断电或耗尽电池才能确保彻底清除恶意代码。 IT之家附上参考地址 KLCERT-25-012: Qualcomm chipset series. Write-what-where Condition vulnerability in BootROM Kaspersky discovers vulnerability in Qualcomm Snapdragon chips that can lead to data loss & device compromise
IT之家 4 月 24 日消息,开源网络工具 cURL 开发者 Daniel Stenberg 于 4 月 22 日发布博文, 指出 AI 生成的漏洞报告已从“垃圾信息”演变为“高质量混乱”。 IT之家曾于今年 1 月报道, Stenberg 指出因 cURL 安全漏洞赏金项目(cURL Bug Bounty)持续收到大量 AI 生成的虚假漏洞报告 ,于 2 月 1 日终止这项赏金项目。 Stenberg 在最新博文中指出,在终止赏金项目,转回 Hackerone 平台后,安全报告提交频率不降反升,达到 2025 年的 2 倍。他用“高质量混乱”定义这一新阶段: 虽然 AI 生成的报告质量大幅提升,但提交频率的激增正将开源维护者推向超负荷边缘。 Stenberg 表示在 2020 至 2024 年间,平均每 100 小时才有一次漏洞提交。2025 年这一间隔缩短至 50 小时以内。进入 2026 年,提交间隔已跌破 25 小时。这意味着维护者几乎每天都要处理新的报告,工作量呈指数级增长。 尽管数量激增,报告的有效性却未降反升。2025 年初,被确认为真实安全问题的比例曾从 13% 跌至 5%。然而近期该数据强劲反弹,目前已接近 16%,甚至超过了 2024 年的水平。这表明 AI 工具在漏洞挖掘领域的准确度正在显著优化,不再单纯制造垃圾信息。 Stenberg 认为 AI 工具已成为安全报告的标准配置,虽然报告者鲜少提及具体工具,但从措辞和重复度可明确辨识 AI 痕迹。与 2025 年初的低质“AI 垃圾”不同,现在的 AI 辅助报告质量极高。 更严峻的风险在于攻防时间差。Stenberg 警告称,恶意攻击者同样可以使用这些 AI 工具快速发现漏洞。在维护者修复问题之前,攻击者可能已经利用漏洞发起攻击。
IT之家 4 月 22 日消息,连线(Wired)昨日(4 月 21 日)发布博文,报道称本周发布的火狐 Firefox 浏览器 150 稳定版中, Mozilla 借助 Anthropic 的 Mythos Preview AI 模型,发现并修复了 271 个漏洞。 IT之家此前报道,双方已在 Firefox 148 版本中开展合作, 使用 Opus 4.6 模型成功检出 22 个漏洞 。 Mozilla Firefox 首席技术官 Bobby Holley 指出,以往漏洞测试主要结合模糊测试等自动化工具与人工分析,难以覆盖所有漏洞类型,攻击者若投入巨资仍有机可乘。 而 AI 几乎能覆盖所有漏洞空间,迫使所有软件必须经历一次彻底的“安检过渡期”,挖掘并修复深藏代码中的隐患。 这一变革对开源软件生态挑战巨大。许多全球通用的开源项目仅由少数志愿者维护,甚至处于无人维护状态。Holley 指出,大厂尚可调动数千工程师应对,但小型项目维护者既缺乏资源,也无力应对海量的漏洞修复工作。 Mozilla CTO Raffi Krikorian 也撰文警示,AI 技术可能加剧既有不公:最关键的基础设施常由免费劳动力维护,而大企业却免费搭便车。 拥有资源的组织将率先获得防护能力,弱势一方则更易暴露在风险中。Mozilla 目前正积极向开源社区分享经验与工具,试图弥合这一安全鸿沟。 相关阅读: 《 火狐 Firefox 浏览器被 Claude AI 两周挖出 14 个高危漏洞,相当于 2025 年修复总数 20% 》 《 火狐 Firefox 浏览器 150 发布:增强分屏视图、优化 PDF 阅读器、新增实时隐私翻译 》
IT之家 4 月 21 日消息,美国国家标准与技术研究院 (NIST) 当地时间本月 15 日宣布,将对现有国家漏洞数据库 (NVD) 处理公共漏洞和暴露 (CVE) 的工作流程进行调整, 把精力优先放在关键漏洞上 ,以应对 CVE 提交近来快速增长的事实。 图源:Pexels NIST 表示,2025 年的 CVE 漏洞提交数量 相较 2020 年增长了 263% ;其 2025 年丰富的 CVE 提交数量接近 42000 个, 比 以往任何一年都多了 45% 。而这一增长势头还将持续:2026Q1 的提交量 又同比增长了近 1/3 。NIST 从 2024 年初开始就积压了大量未完善的 CVE 。 为此,NIST 现在将优先关注出现在 CISA 已知被利用漏洞目录中的 CVE、美国联邦政府内部使用的软件 CVE、根据美国行政命令 14028 定义的关键软件 CVE, 上述三类以外的提交 则会被放置到“最低优先级” 。NIST 也将 不再主动为所有 CVE 提交单独提供自己的严重性评分 。
IT之家 4 月 20 日消息,据 Politico 报道,欧盟此前推出了一款用于在线核验年龄的手机应用程序,但网络安全专家在其代码中发现了明显的隐私与安全漏洞。 上周三,欧盟委员会主席乌尔苏拉 · 冯德莱恩在布鲁塞尔发布了这款年龄核验工具,称其“技术上已准备就绪”,随着各国逐步禁止儿童使用社交媒体,该应用很快将投入使用。 冯德莱恩表示:“它完全开源,所有人都可以查看代码。” 网络与隐私专家随即深入研究了 GitHub 软件平台上的源代码,并报告了该应用设计中存在的多处问题。 这一事件正演变为布鲁塞尔方面的一场公关灾难。而在代码争议的背后,隐私维权人士、儿童权益组织、科技企业与政界人士在如何保护未成年人网络安全的问题上,存在着更深层次的分歧,各国领导人纷纷承诺保护儿童远离社交媒体与色情网站。 安全顾问保罗 · 摩尔在社交平台 X 上发布的一篇广泛传播的帖子称,欧盟这款应用发布后数小时内,他就发现其会将敏感数据存储在用户手机中且未做任何保护。 摩尔声称自己在不到两分钟内就破解了这款应用。 法国知名白帽黑客巴普蒂斯特 · 罗伯特证实了其中多项问题,并表示该应用的生物识别验证功能可以被轻易绕过,用户无需输入 PIN 码或使用触控 ID 即可进入应用。 法国数字身份专项工作组的密码学研究员奥利维耶 · 布拉齐称:“假设我下载了这款应用,验证自己年满 18 周岁,之后我的侄子就能拿起我的手机,解锁应用并用它证明自己也已满 18 岁。” 当地时间上周五,欧盟委员会仍坚持此前表态,称该应用技术上已准备就绪。首席发言人保拉 · 皮尼奥对记者表示:“是的,它已经就绪。或许我们可以补充一句,‘它始终还有优化空间’。” 数字事务发言人托马斯 · 雷尼耶称:“我们所说的最终版本,其实…… 仍属于演示版本。”他补充道,面向公众的最终产品尚未推出,“代码将持续更新优化…… 目前我无法排除或预判是否还需要进一步更新”。 当地时间上周四,欧盟委员会在给 Politico 的声明中称,黑客测试的是该应用较早的“演示版本”,该版本仅用于“测试与开发”,相关漏洞“已修复”。 但摩尔与布拉齐均表示,他们测试的是欧盟在线发布的最新版代码。 布拉齐表示:“他们将应用开源供专家测试是件好事。问题在于,发布的源代码并未达到我们对这类重要应用所期望的网络安全标准。我们此前就担心委员会会不顾安全问题仓促推出这款应用,如今看来,他们确实想推出一款技术上尚未成熟的产品。”布拉齐还称,“如此仓促上线,可能会损害公众对未来数字身份钱包的信任。” 比利时知名道德黑客英蒂 · 德 · 克勒克拉尔表示:“对于此类开源代码项目,在发布前同步公布安全评估报告会是明智之举,这样所有人都能权衡其利弊与风险。” 受政治层面加强未成年人网络保护的推动,欧盟及其多个成员国正陆续推行在线年龄核验措施。 当地时间上周四晚间,法国总统埃马纽埃尔 · 马克龙召集欧洲多国国家元首就该问题召开视频会议,冯德莱恩、意大利总理焦尔吉娅 · 梅洛尼、西班牙首相佩德罗 · 桑切斯、德国领导人弗里德里希 · 默茨等均参与了会议。 去年 12 月,澳大利亚成为全球首个对儿童使用社交媒体实施限制的国家,实质上禁止 16 岁以下未成年人使用 TikTok、YouTube 等热门平台。 2024 年年末,欧盟委员会就这款年龄核验应用发布了 400 万欧元(IT之家注:现汇率约合 3208.7 万元人民币)的招标项目,最终由瑞典数字身份企业 Scytáles 与德国电信中标。 该应用允许用户通过护照、国民身份证或银行等可信机构核验年龄。科技平台可向应用查询用户是否达到特定年龄,但无法获取更多个人数据,这一模式被称为“零知识证明”,旨在保护用户隐私。 各成员国政府也可自行开发同类应用,且不同应用可互联互通,实现欧盟范围内顺畅的年龄核验。 但年龄限制措施的批评者认为,兼具完善隐私与数据保护的年龄核验技术尚未成熟;即便技术达标,网民也能通过虚拟专用网络(VPN)隐藏位置等方式轻易绕过限制。 布拉齐曾与 400 余名隐私及安全专家联名,于今年 3 月向欧盟委员会致公开信,呼吁“暂停相关部署计划,直至学界就年龄核验技术的利弊与技术可行性达成科学共识”。 欧洲议会捷克海盗党议员、新版网络安全法案牵头立法者马尔凯塔 · 格雷戈罗娃表示:“这一进程正迫于政治压力仓促推进。”她认为,欧洲应对这款应用展开更细致审查,“核查是否已采取所有网络安全与隐私保护措施”。 德国知名中左翼议员比尔吉特 · 西佩尔在接受采访时,称这款应用是“半成品解决方案,未能达到欧盟自身的标准”。
IT之家 4 月 18 日消息,科技媒体 NeoWin 昨日(4 月 17 日)发布博文,报道称微软更新 Media Creation Tool(媒体创建工具), 推出 Windows 11 24H2/25H2 系统最新镜像,集成 4 月补丁星期二更新 KB5083769。 发布策略方面,微软已调整 MCT 的更新节奏,此前 MCT 提供的镜像往往滞后于最新版本一个月甚至更久,导致用户在重装系统后仍需下载大量补丁。而微软近期调整后,MCT 将定期直接分发包含最新镜像,缩短用户从“安装完成”到“系统最新”的时间窗口。 版本方面,最新推送镜像为 Windows 11 Build 26200.8246,整合 2026 年 4 月 14 日发布的累积更新 KB5083769,共计修复了 167 个安全漏洞,其中 2 个为零日漏洞。本月补丁修复 8 个为“关键”(Critical)级别漏洞,其中 7 个为远程代码执行漏洞,另 1 个是拒绝服务漏洞。 IT之家附上已修复的漏洞类型如下: 93 个特权提升漏洞 13 个安全功能绕过漏洞 20 个远程代码执行漏洞 21 个信息披露漏洞 10 个拒绝服务漏洞 9 个伪装漏洞 本次工具主要升级 Windows 11 系统镜像版本,但是媒体创建工具仍停留在 10.0.26100.7019。该工具沿用了自 Windows 10 时代以来的经典设计,主要功能仍是帮助用户下载 ISO 文件或直接制作 USB 启动盘。
IT之家 4 月 17 日消息,安全研究员 Chaotic Eclipse 于本月初因不满微软 MSRC 安全部门响应流程, 对外公开披露了一项 BlueHammer 零日安全漏洞 。随后,多位安全专家证实该漏洞确实存在,微软已在本月例行更新(Patch Tuesday)中将其登记为 CVE-2026-33825 并完成修复。 对此,Chaotic Eclipse 认为微软根本不重视研究人员悄悄上报的漏洞,只有公开披露漏洞才能让微软迅速修复,因此其又公开披露了一项名为 RedSun 的零日漏洞。 IT之家获悉,该漏洞波及 Windows 10/11/Server 2019,主要利用了 Windows 的 Cloud Files API 在处理文件时的“时间差漏洞”。黑客先放入一个特殊文件诱导系统介入处理,再趁系统忙于操作的瞬间偷偷把文件替换成自己的恶意程序,并伪装成系统关键组件;由于该组件本来会以 SYSTEM 最高权限运行,最终就变成系统“误帮”攻击者执行恶意代码,从而实现权限提升。
IT之家 4 月 17 日消息,微软本月早些时候遭公开的三枚 Windows 零日漏洞,目前已全部被黑客用于实际攻击。其中两枚涉及 Microsoft Defender 本地权限提升,另一枚可阻断 Defender 病毒库更新,但目前仅有 BlueHammer 获得修复。 Huntress Labs 安全研究人员于当地时间 4 月 16 日报告称,已监测到这三枚零日漏洞被利用的迹象。其中,BlueHammer 漏洞自 4 月 10 日起就已被用于攻击。 研究人员还在一个通过失陷的 SSLVPN 账户被攻破的 Windows 设备上,同时发现了 UnDefend 和 RedSun 漏洞的利用痕迹,攻击显示出“有实战操作的黑客活动特征”。 这三枚漏洞由化名为“Chaotic Eclipse”或“Nightmare-Eclipse”的安全研究员在本月初陆续公开。 截至 4 月 17 日,微软仅将 BlueHammer 漏洞编号为 CVE-2026-33825,并在 4 月安全更新中完成了修复,其余两枚漏洞至今没有官方补丁。 漏洞细节 BlueHammer 是一个 Windows 本地权限提升零日漏洞,于 4 月 3 日首次公开。该漏洞滥用了 Microsoft Defender 的签名更新机制,通过组合检查时间 / 使用时间(TOCTOU)竞争条件与路径混淆,实现 SYSTEM 级权限提升。 微软已在 4 月 14 日的 Patch Tuesday 更新中修复该漏洞。CVE-2026-33825 被评定为“重要”级别,CVSS 评分为 7.8,允许本地攻击者在受影响系统上获得 SYSTEM 权限。 然而,就在微软发布补丁后不久,同一研究员再次公开了第二枚零日漏洞 RedSun。这是一枚未修复的权限提升漏洞,可在 Win10、Win11 及 Windows Server 2019 及以上系统中,在 Windows Defender 启用的情况下,帮助攻击者获得 SYSTEM 权限。即便用户已安装了 4 月 Patch Tuesday 的所有更新,RedSun 依然能够成功利用。 第三枚漏洞 UnDefend 则允许标准用户阻断 Microsoft Defender 的病毒库定义更新,造成防御能力的实质性降级。 攻击手法:Defender 反被利用成为攻击通道 据独立验证了这些漏洞的前 CERT / CC 分析师 Will Dormann 分析,RedSun 利用 Windows Cloud Files API 创建文件,写入 EICAR 测试字符串,通过机会锁在竞争条件下获胜,然后将目录联接重解析点交换到特权扫描程序下方,使恶意写入操作最终落地到 C:\Windows\System32\TieringEngineService.exe 。下一次 Windows 调用 Cloud Files Infrastructure 服务时,攻击者控制的二进制文件即以 SYSTEM 权限运行。 Dormann 表示:“在启用了 Windows Defender 的情况下,该漏洞可在安装了 2026 年 4 月更新的 Windows 11 和 Windows Server 上,100% 可靠地从普通用户提权至 SYSTEM,Windows 10 同样受影响。” BlueHammer 的攻击路径则利用了 Defender 签名更新流程,在 mpasbase.vdm 上放置机会锁,使用对象管理器符号链接加目录联接,将 SYSTEM 级写入操作通过卷影副本重定向到 SAM 和 SYSTEM 注册表配置单元,从而实现 NTLM 哈希提取和本地哈希传递攻击。在 Windows Server 环境下,因授权检查机制不同,攻击结果为提升至管理员权限而非完整 SYSTEM 权限。 披露争议:研究员称 MSRC 处理流程“令其过于反感” 三枚漏洞的公开披露,源于该研究员对微软安全响应中心处理流程的强烈不满。据 Chaotic Eclipse 称,MSRC 团队曾“亲自告诉我,他们会毁掉我的人生,他们也确实这么做了。他们把我逼到绝境,玩尽了各种幼稚的把戏。” 据IT之家早前报道,该研究员向微软私下提交漏洞后,MSRC 要求提供漏洞利用的视频演示作为证据 —— 这种要求在安全社区中属于异类,通常 PoC 代码加文字说明已足够。该研究员认为 MSRC 近年来的质量大幅下滑,原因是微软裁掉了经验丰富的安全人员,换上了只会照搬流程图的员工。 微软在 CVE-2026-33825 的安全公告中,将漏洞发现功劳归于 Zen Dodd 和 Yuanpei Xu,而非 Chaotic Eclipse。这一署名争议被认为是研究员决定公开更多漏洞的直接导火索。该研究员随后公开承诺:“我会确保微软每次发布补丁时,事情都变得更有趣。” 微软发言人在回应漏洞披露争议时表示:“公司始终致力于调查已报告的安全问题,并将尽快发布更新以保护用户。我们也支持协调漏洞披露机制,这是一种广泛采用的行业实践,有助于确保问题在公开披露前得到认真调查和解决,既能保护客户,也能支持安全研究社区。” 截至 4 月 17 日,微软仍未就 RedSun 和 UnDefend 两枚漏洞发布官方补丁或临时缓解方案。安全团队建议企业用户加强对 Defender 的日志审计,监控重解析点创建和机会锁获取等异常行为,并在高价值系统上部署 Windows Defender 应用程序控制或 AppLocker 作为防御纵深。 相关阅读: 《 开发者不满微软 MSRC 安全部门响应流程,公开披露 Windows 本地提权零日漏洞 》
IT之家 4 月 16 日消息,科技媒体 bleepingcomputer 昨日(4 月 15 日)发布博文,报道称在 2026 年度 Zero Day Quest 黑客大赛中, 微软共计收到近 700 份漏洞提交,支付 230 万美元(IT之家注:现汇率约合 1571.5 万元人民币)奖金。 IT之家注:Zero Day Quest 是微软主办的年度黑客大赛,专门针对微软产品和服务的安全漏洞挖掘活动。参与者需在授权环境中进行测试,发现的高危漏洞可获得高额奖金。 2026 年奖金池达 500 万美元,为微软历史上规模最大的安全研究赛事。与普通漏洞赏金计划不同,Zero Day Quest 更聚焦云和 AI 平台的高影响漏洞。 微软安全响应中心(MSRC)工程副总裁 Tom Gallagher 透露,在雷德蒙德园区举办的现场活动中, 研究人员发现了 80 多个高影响的云和 AI 安全漏洞。 参与者来自 20 多个国家,职业背景跨度极大,从高中生到大学教授均有参与。所有测试均在授权环境中进行,遵循微软的交战规则,在未访问客户数据或其他租户系统的情况下验证潜在影响。 在这些约束条件下,研究人员识别出涉及凭证暴露、SSRF 链和跨租户访问的关键攻击路径。这些漏洞类型对云和 AI 平台安全构成严重威胁,一旦被恶意利用可能导致大规模数据泄露。
IT之家 4 月 16 日消息,YouTube 频道 Veritasium 今天(4 月 16 日)发布视频,披露了一项针对 iPhone 的 NFC 支付场景( 并非 iPhone 本身问题 )的漏洞, 攻击者可在手机锁定状态下通过绑定的 Visa 卡盗刷资金。 这项漏洞由萨里大学和伯明翰大学网络安全团队于 2021 年首次公开,核心在于攻击者利用 NFC 读卡器拦截 iPhone 与支付终端的通信。 读卡器连接笔记本电脑收集支付数据,再传输至另一部临时手机(Burner phone),最终在合法读卡器上完成盗刷。 不过整个链条需将 NFC 设备调校至与合法交通读卡器相同的标识符,技术门槛较高。 IT之家注:Burner phone 原指那种预付费、无需实名登记、可以随时丢弃以防被追踪的手机。在现代语境中,也常指专门为了某种特定目的(如旅行、工作、私密联系)而准备的廉价手机。 攻击成功的前提条件较为苛刻:受害者必须在 iPhone 上启用“快捷交通模式”(Express Transit Mode),并绑定 Visa 卡作为支付方式。 该模式本意是让用户无需解锁手机即可快速通过地铁闸机或公交刷卡,但安全研究人员发现,可以劫持该便利功能伪造交通终端信号,进而绕过传统交易金额限制。 值得注意的是, 这实际上是 Visa 系统的安全缺口,而非 iPhone 本身的问题。 Mastercard 和美国运通卡因采用不同的安全验证机制,不受此漏洞影响。 Samsung Pay 同样采用独立的安全架构,攻击者无法复制相同手法。换言之,只有“iPhone+Visa 卡 + 快捷交通模式”这一特定组合才会暴露风险。 Visa 对此回应称,此类欺诈在现实环境中发生的可能性极低 ,且持卡人受零责任政策保护,任何可疑交易均可申诉撤销。 苹果则向 Veritasium 表示,这是 Visa 系统的问题,在真实场景中几乎不可能发生。两家公司均强调,攻击需要物理接触受害者的 iPhone,且需配备专业硬件设备,大规模实施难度极大。 为演示漏洞的实际危害,研究团队在 Veritasium 视频中成功从科技博主 Marques Brownlee 的锁定 iPhone 上盗刷了 10000 美元(现汇率约合 68325 元人民币)。这一实验证明,尽管攻击条件复杂,但技术层面确实可行。 科技博主 Marques Brownlee 参与 iPhone NFC 漏洞演示
IT之家 4 月 12 日消息,Adobe 昨天在官网发布公告,为 Acrobat、Acrobat Reader 软件发布紧急安全更新,修复 CVE-2026-34621 零日漏洞, 建议所有用户尽快安装 。 受影响软件如下: 软件名 更新通道 受影响版本 平台 Acrobat DC Continuous 26.001.21367 及更早 Windows/macOS Acrobat Reader DC Continuous 26.001.21367 及更早 Windows/macOS Acrobat 2024 Classic 2024 24.001.30356 及更早 Windows/macOS 如果用户开启了自动更新,则系统会在检测到更新时自动安装。需要手动更新 / 下载安装包的也可以在软件中选择“帮助 > 检查更新”,或前往 Acrobat Reader 官网( https://get.adobe.com/cn/reader/ )下载。 同时,本次漏洞的类型是原型链污染(IT之家注:Prototype Pollution,CWE-1321),可执行任意代码,影响非常严重,CVSS 评分 8.6 分。
从今天举行的国务院新闻办公室发布会上了解到,市场监管总局将组织开展新兴领域、电子商务领域知识产权专项执法行动,重点针对网络销售、直播带货、社交电商等环节的商标侵权、专利假冒及地理标志滥用行为实施精准打击。针对社会反映强烈的“幽灵网店”问题,即经营地址信息不实、执法中“找不到人”“寻不到货”“查不到账”等逃避执法监管的顽疾,督促电商平台切实履行主体责任,从源头堵住监管漏洞。(央视新闻)
随着对Anthropic PBC最新人工智能(AI)模型Mythos的担忧蔓延至亚洲,新加坡金融监管机构正敦促银行堵上网络安全漏洞。新加坡金融管理局发言人在回应关于Mythos所带来风险的询问时表示,金管局正与该国网络安全机构协调,加强包括银行在内的关键基础设施运营方的防御能力。Mythos是Anthropic推出的一款新AI模型,该公司认为该模型“过于危险”,不宜广泛发布。(新浪财经)