行業新聞與博客
2025年最危險的 25 個軟件漏洞揭曉
MITRE 公司發佈了一份新的清單,列出了 25 個最危險的軟件“漏洞”,這將有助於開發人員、網絡防禦人員和採購團隊瞭解相關信息。今年的年度 CWE Top 25 榜單是根據 39,080 個 CVE 背後的弱點 (CWE) 編制而成的。MITRE 聲稱:“揭示這 ...
ISACA 被指定為美國國防部 CMMC 項目的全球認證機構
ISACA 已被美國國防部 (DoD) 指定為網絡安全成熟度模型認證 (CMMC) 計劃的全球認證機構,以確保國防承包商符合嚴格的網絡安全標準。美國國防部於 2020 年推出了 CMMC,以確保公司在執行政府合同時保護敏感信息。該計劃要求處理聯邦合同信息 (FCI) 和受控非密信息 (CUI) 的承 ...
新型 “謊言循環” 攻擊破壞人工智能安全對話
安全研究人員詳細介紹了一種破壞智能體人工智能系統中常見安全機制的新型攻擊技術,展示瞭如何操縱人類的批准提示來執行惡意代碼。Checkmarx 的研究人員觀察到,該問題集中在人機交互 (HITL) 對話上,這種對話旨在人工智能代理執行潛在風險操作(例如運行操作系統命令)之前徵求用户的確認。週二發佈的這 ...
汽車行業 WordPress 漏洞使網站易受攻擊
Motors WordPress 主題中存在一個安全漏洞,該漏洞可能允許權限最低的已登錄用户完全控制受影響的網站。該問題涉及任意文件上傳漏洞,允許訂閲用户和更高級別的用户安裝和激活插件,從而可能導致惡意代碼執行。Motors 主題是一款廣泛用於汽車網站的 WordPress 解決方案,包括汽車經銷商 ...
OAuth 設備代碼網絡釣魚活動激增,微軟 365 成為攻擊目標
已發現濫用微軟 OAuth 設備代碼授權流程的網絡釣魚活動激增,多個威脅集羣利用該技術未經授權訪問 Microsoft 365 帳户。根據 Proofpoint 今天發佈的一份新報告,國家支持的和以經濟利益為目的的行動者都在利用社會工程手段誘騙用户批准惡意應用程序,從而實現賬户接管、數據竊取和進一步 ...
英國電信網絡服務部門攔截了 10 億次惡意網站訪問嘗試
由於英國國家網絡安全局 (NCSC) 最近部署的一項服務,過去一年英國已阻止了近 10 億次早期網絡攻擊。英國安全部長丹·賈維斯在 12 月 3 日於倫敦舉行的《金融時報》歐洲網絡安全韌性峯會上宣佈了這一結果。活動當天上午,賈維斯剛剛拜訪了電信公司 BT,該公司是 NCSC 的共享與防 ...
人工智能增強型 Tuoni 框架瞄準美國大型房地產公司
2025 年 10 月,美國一家大型房地產公司遭到使用新興的 Tuoni C2 框架的高級入侵攻擊。Morphisec 觀察到的此次攻擊,並在今天發佈的一份安全公告中進行了描述,該攻擊結合了社會工程、隱寫術和內存內執行。該活動表明,威脅行為者如何將模塊化指揮控制 (C2) 工具與人工智能輔助的投放方 ...
DoorDash 證實發生數據泄露,導致客户個人信息泄露
外賣服務 DoorDash 已證實,該公司在 2025 年 10 月遭遇數據泄露,部分客户個人信息遭到訪問。該公司在一封發給客户的電郵中(該郵件已在社交媒體上分享)確認了這起事件,並指出姓名、電話號碼、實際地址和電郵詳細信息均受到影響。針對該公司網站上發佈的網絡安全事件,該公司表示,目前沒有跡象表明 ...
新型 NPM 惡意軟件活動將受害者重定向到加密貨幣網站
網絡安全專家發現了一種圍繞七個 NPM 包構建的新型惡意軟件攻擊活動。Socket 威脅研究團隊觀察到的此次攻擊活動由名為 dino_reborn 的威脅行為者發起。該活動結合使用了偽裝工具、反分析控制措施和偽造的加密貨幣交易所驗證碼,以識別訪問者是潛在受害者還是安全研究人員。其中六個軟件包包含幾乎 ...
CISA 2015 獲得延期,為網絡信息共享提供短暫的寬限期
一項重要的美國網絡安全法原定於 2025 年 9 月到期,但由於國會議員為在長期政府停擺後重新開放美國政府所做的努力,該法律獲得了短期延期。《網絡安全信息共享法》(CISA 2015)保護公司在共享網絡威脅情報時免於承擔法律責任,是支持美國及其他地區網絡信息共享的關鍵。該立法的核心在於保護企業在通過 ...
需要幫助嗎?聯繫我們的支持團隊 在線客服