苹果紧急修复两个极其复杂的高危零日漏洞

运营超过二十年的Linux中国开源社区（linux.cn）官方网站近日宣告关闭。2025年3月20日起，其主域名被注册商设置为"clientHold"（永久冻结）状态，这意味着该域名在DNS系统中被完全封锁，禁止解析、访问甚至交易。

这实际上是一记姗姗来迟的"死刑判决"。知情人士透露，该社区早在2024年就已停止内容更新，但官网仍维持基本访问功能，直到此次域名被彻底冻结。

至于clientHold状态的原因，Linux中国站长解释称域名被冻结是"按上级要求"，注册商无权进行解封操作。“其实到现在，我们甚至连具体的原因也不知道。”

作为应急措施，社区目前启用新域名linux.net.cn继续托管内容，但负责人坦言无法保证新域名不会遭遇同样命运。这种不确定性反映出国内开源社区面临的系统性困境。

近日，研究人员披露了Erlang/Open Telecom Platform (OTP) SSH实现中的一个严重安全漏洞（CVE-2025-32433）。该漏洞CVSS评分高达10.0满分，允许攻击者在特定条件下无需任何身份验证即可执行任意代码。

Erlang常见于高可用性系统，大多数思科和爱立信设备都运行Erlang。任何使用Erlang/OTP SSH库进行远程访问的服务，如OT/IoT设备和边缘计算设备，都容易受到攻击。这一漏洞源于对SSH协议消息的不当处理，本质上允许攻击者在身份验证之前发送连接协议消息。如果成功利用这些缺陷，可能导致在SSH守护进程上下文中执行任意代码。更严重的是，如果守护进程以root权限运行，攻击者将能够完全控制设备，从而获取敏感数据或发起拒绝服务攻击。

为贯彻落实党的二十届三中全会精神，推动金融高水平开放，中国人民银行、金融监管总局、中国证监会、国家外汇局、国家网信办、国家数据局近期联合印发《促进和规范金融业数据跨境流动合规指南》（以下简称《指南》）。

《指南》旨在促进中外资金融机构金融业数据跨境流动更加高效、规范，进一步明确数据出境的具体情形以及可跨境流动的数据项清单，便利数据跨境流动。《指南》要求金融机构采取必要的数据安全保护管理和技术措施切实保障数据安全。

下一步，中国人民银行将会同相关部门根据《指南》实施情况及效果，不断优化完善，持续推动金融高水平开放。

Mozilla近日发布了Firefox浏览器的重要安全更新，修复了一个可能导致可利用内存损坏的高危漏洞（CVE-2025-3608）。此次更新解决了浏览器HTTP事务处理组件中的一个竞争条件问题，安全研究人员警告称，攻击者可能利用该漏洞来入侵受影响的系统。

该漏洞存在于Firefox的nsHttpTransaction组件中，该组件负责处理浏览器与网络服务器之间的HTTP网络事务。根据Mozilla的安全公告，这种竞争条件漏洞可能被利用导致内存损坏，潜在地创造可被攻击者利用执行任意代码的条件。竞争条件发生在多个进程或线程同时访问和操作共享数据时，当操作的时间变得关键时，可能导致不可预测的行为。在Firefox的案例中，nsHttpTransaction中的竞争条件可能导致内存在被释放后被访问，或在被另一个进程使用时被修改。

美国国家标准与技术研究院（NIST）近日发布了《NIST隐私框架1.1初步公开草案》，旨在满足当前隐私风险管理需求，保持与NIST最新更新的网络安全框架的一致性，并提高可用性。该框架首次发布于五年前，主要帮助组织在利用个人数据的同时保护个人隐私。

此次更新部分源于隐私框架与广泛使用的NIST网络安全框架（CSF）的密切关系，后者已于2024年2月完成更新。由于隐私风险与网络安全风险密切相关且常有重叠，两个框架共享相同的高级结构，使其易于共同使用。

NIST应用网络安全部门主任Julie Chua表示，隐私框架可以独立用于管理隐私风险，但也保持了与CSF 2.0的兼容性，使组织能够共同使用它们来管理全方位的隐私和网络安全风险。

美国网络安全和基础设施安全局(CISA)周三（4月16日）将一个影响SonicWall Secure Mobile Access(SMA) 100系列网关的安全漏洞（CVE-2021-20035）添加到其已知被利用漏洞(KEV)目录中，基于该漏洞正被积极利用的证据。

这个高危漏洞涉及操作系统命令注入问题，可能导致代码执行。SonicWall在2021年9月发布的公告中表示："SMA100管理界面中特殊元素的不当中和允许远程认证攻击者以'nobody'用户身份注入任意命令，这可能导致代码执行。"

受影响的设备包括SMA 200、SMA 210、SMA 400、SMA 410和SMA 500v(ESX、KVM、AWS、Azure)，运行以下版本：

10.2.1.0-17sv及更早版本(已在10.2.1.1-19sv及更高版本中修复)

10.2.0.7-34sv及更早版本(已在10.2.0.8-37sv及更高版本中修复)

9.0.0.10-28sv及更早版本(已在9.0.0.11-31sv及更高版本中修复)

前美国网络安全和基础设施安全局(CISA)局长Chris Krebs于周三（4月16日）宣布辞去网络安全公司SentinelOne的首席情报和公共政策官职务。此举发生在特朗普总统上周签署针对Krebs的行政令一周后。该行政令要求政府暂停与Krebs相关实体的安全许可，并点名提及了SentinelOne。

特朗普在4月9日的行政令中将Krebs描述为"滥用政府权力的恶意行为者"，指责他"通过CISA，错误且毫无根据地否认2020年大选被操纵和窃取"。该行政令指示司法部长、国家情报总监和"所有其他相关机构"暂停"与Krebs相关实体（包括SentinelOne）的个人持有的任何有效安全许可"。Krebs在给SentinelOne员工的电子邮件中写道："对于了解我的人，你们知道我不会回避艰难的斗争。但我也知道这是一场我需要完全投入的斗争——在SentinelOne之外。这将需要我完全的专注和精力。这是为民主、言论自由和法治而战。"

研究人员近日发现，一个允许攻击者在最小用户交互下泄露NTLM认证哈希值的Windows漏洞（CVE-2025-24054）在微软发布补丁后数日内就被积极利用。

该漏洞可通过特制的.library-ms文件触发，用户仅需浏览包含该文件的文件夹，Windows就会启动SMB认证请求，将NTLMv2-SSP哈希泄露给攻击者控制的服务器。尽管微软于2025年3月11日发布了修复补丁，但威胁行为者在3月19日就开始在野外利用该漏洞。研究人员随后观察到一场针对波兰和罗马尼亚机构的协同攻击活动。攻击者通过钓鱼邮件中嵌入的Dropbox链接传递恶意.library-ms文件，这些文件一旦被下载并解压，无需用户打开或执行任何操作就能触发NTLM哈希泄露。

首个已知利用此漏洞的活动发生在3月20-21日左右，使用名为xd.zip的压缩包，其中包含四个设计用于收集NTLMv2哈希的恶意文件。接收被窃凭据的SMB服务器位于俄罗斯、保加利亚、荷兰、澳大利亚和土耳其。

网络安全专家近日发现了一个复杂的多阶段钓鱼活动，该活动利用AI驱动的演示工具Gamma来发起针对Microsoft账户用户的凭证窃取攻击。

攻击始于一封看似无害的电子邮件，通常从受信任个人或组织的被入侵合法账户发送。邮件包含看似PDF附件但实际上是超链接的内容。当用户点击此链接时，会被重定向到Gamma平台上托管的专业制作的演示文稿，其中包含组织品牌和一个醒目的行动号召按钮，标记为"查看PDF"或"审阅安全文档"。

点击此按钮后，受害者会被引导至一个带有Microsoft品牌并受Cloudflare Turnstile（一种无CAPTCHA的机器人检测机制）保护的中间页面。这一设计有双重目的：阻止自动安全工具分析恶意内容，同时增加页面的感知合法性。感染链最终指向一个令人信服的Microsoft SharePoint登录门户复制品，页面设计模仿Microsoft的UI模式，在模糊背景上叠加模态风格的登录窗口。

苹果公司近日发布紧急安全公告，敦促用户立即更新系统以修补两个正被黑客积极利用的零日漏洞。这两个漏洞分别位于CoreAudio（CVE-2025-31200）和RPAC组件（CVE-2025-31201）中，被用于执行代码和内存破坏攻击。

其中，CoreAudio漏洞（CVSS评分7.5/10）是一个高危内存破坏缺陷，处理恶意构造的媒体文件中的音频流可能导致代码执行"。而RPAC（可重构处理架构核心）漏洞（CVSS评分6.8/10）则允许攻击者绕过指针认证，这可能导致权限提升和内核入侵。

苹果在周三（4月16日）发布的公告中表示，该漏洞可能已被用于针对iOS上特定目标个人的“极其复杂”攻击。该漏洞影响范围广泛，包括运行iOS、iPadOS、tvOS、visionOS和macOS的设备。苹果已为所有受影响的操作系统发布了修补程序，包括tvOS 18.4.1、visionOS 2.4.1、iOS 18.4.1、iPadOS 18.4.1和macOS Sequoia 15.4.1。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除