新闻速览
•ATT隐私框架实施存歧视,苹果公司被法国竞争管理局罚款1.5亿欧元
•密码学专家王晓峰夫妇神秘消失,FBI突袭两处住所引发猜测
•Microsoft利用Copilot发现GRUB2、U-Boot和Barebox引导加载程序多个严重漏洞
•俄罗斯铁路疑遭乌克兰”黑客军团“报复,网站和移动应用受DDos攻击
•疑似攻击前奏:黑客用2.4万个IP地址协同扫描Palo Alto Networks VPN门户
•黑客利用公开PoC代码发起攻击,1500个互联网CrushFTP服务器实例面临风险
•Canon打印机驱动曝严重缓冲区溢出漏洞,多款产品受影响
•人为疏忽酿大祸,150万张约会应用私密照片遭泄露
•Rockwell Automation资产管理系统曝高危漏洞,变量净化不足引发安全风险
特点观察
ATT隐私框架实施存在歧视,苹果公司被法国竞争管理局罚款1.5亿欧元
法国竞争管理局3月31日宣布对美国苹果公司处以1.5亿欧元罚款,原因是其应用跟踪透明度(App Tracking Transparency,ATT)隐私框架的实施方式存在问题。监管机构指出,苹果在 2021 年4 月26 日至 2023 年7 月25 日期间,滥用其作为 iOS 和iPadOS 设备移动应用分发商的主导地位。
ATT 框架于 iOS 14.5 、iPadOS 14.5 和tvOS 14.5 版本引入,要求移动应用必须获得用户明确同意才能访问其设备的广告标识符(IDFA)并跟踪用户跨应用和网站的行为,用于定向广告目的。法国监管机构将 ATT 描述为”人为复杂”,并指出通过该框架获得的同意不符合《法国数据保护法》规定的法律义务,这迫使开发者使用自己的同意收集解决方案,导致用户面临多个同意弹窗。
监管机构还指出 ATT 实施中存在两种不对称性:一方面,用户必须两次确认同意跟踪,而拒绝则是一步流程,这破坏了框架的”中立性”;另一方面,”虽然发布商需要获得用户对第三方网站和应用程序跟踪的双重同意,但苹果自己的应用程序(直到 iOS 15 实施前)并未要求用户同意”。
原文链接:
密码学专家王晓峰夫妇神秘消失,FBI突袭两处住所引发猜测
美国印第安纳大学著名计算机科学家、密码学和网络安全专家王晓峰(Xiaofeng Wang)及其妻子马年丽(Nianli Ma)近期突然失踪,引发广泛关注。两人的个人资料已从大学网站上被移除,而FBI已对他们在印第安纳州的两处住所进行了突袭搜查。
王晓峰在密码学、隐私和网络安全领域拥有超过20年的杰出职业生涯,曾担任印第安纳大学Luddy信息学、计算和工程学院的教授和研究副院长。他在人类基因组数据保护和系统安全方面的工作赢得了国际认可,参与的研究项目资金总额接近2300万美元。
据WIRED报道,过去几周内,王晓峰的个人资料页面、电子邮件账户和电话号码从大学网站上被悄然删除。其妻印第安纳大学图书馆技术部门的首席系统分析师马年丽,也遭遇了同样的处理。事态在FBI突袭搜查他们的住所后急剧升级。据当地新闻报道,多辆未标记车辆分别在他们的两处住所进行拍照、收集证据并带走多个箱子。尽管执法行动规模庞大,FBI仅简短确认在两处地点进行了”法院授权的执法活动”,但拒绝提供更多细节。联邦法院卷宗中未发现与王晓峰、马年丽或搜查相关的文件。
原文链接:
Microsoft利用Copilot发现GRUB2、U-Boot和Barebox引导加载程序多个严重漏洞
Microsoft安全研究团队近日利用AI驱动的Copilot工具对引导加载程序代码库进行主动安全审查,发现了影响GRUB2、U-Boot和Barebox等广泛使用的引导加载程序的多个严重漏洞。这些安全缺陷可能使系统暴露于复杂的引导级攻击之下,攻击者可在操作系统初始化前就破坏设备,获得对受影响系统的持久且几乎无法检测的控制权。
这些漏洞影响依赖这些开源引导加载程序初始化硬件和加载操作系统的数千个Linux系统和嵌入式设备。其中,GRUB2(Grand Unified Bootloader version 2)漏洞尤为令人担忧,因为它在企业Linux发行版和某些安全引导实现中被广泛采用。而U-Boot和Barebox漏洞则影响众多嵌入式系统、IoT设备和网络设备,在各行业中形成了广泛的攻击面。研究人员发现,这些引导加载程序中的特定内存处理函数未能正确验证输入大小,可能允许攻击者在引导过程中执行任意代码。这些漏洞存在于安全引导验证链中,可能破坏这些系统所依赖的基础安全机制。
Microsoft已向引导加载程序维护者进行了负责任的披露,相关紧急补丁已发布。对于无法立即更新的系统,Microsoft建议实施物理安全措施并限制管理访问权限,以降低被利用的风险。
原文链接:
网络攻击
俄罗斯铁路疑遭乌克兰”黑客军团”报复,网站和移动应用服务受DDos攻击
俄罗斯铁路近日成为大规模分布式拒绝服务(DDoS)攻击的目标,其官方网站和移动应用程序均受到严重影响,导致在线服务长时间无法访问。
莫斯科交通部门发言人通确认,这次大规模拒绝服务攻击对核心服务仅造成有限影响,恢复工作正在迅速推进。大部分受影响系统已恢复在线,并采取措施确保长期稳定性。初步调查指向一支据称由乌克兰军事情报资助的”黑客军团”是此次攻击的策划者。情报报告进一步表明,这可能不是孤立事件,预计2025年4月期间可能针对其他俄罗斯基础设施发起更多网络攻击。
值得注意的是,此次网络事件发生在乌克兰铁路于3月23日遭遇类似攻击后仅九天。该事件导致乌克兰铁路网站和移动应用服务暂时中断,后续调查将攻击归因于克里姆林宫支持的操作人员,据报道他们利用从南非租用的僵尸网络执行了攻击。鉴于两起事件的时间和相似性,最新针对俄罗斯铁路的攻击被广泛猜测为乌克兰对普京政府的报复行动。
原文链接:
疑似攻击前奏:黑客用2.4万个IP地址协同扫描Palo Alto Networks VPN门户
安全研究人员近期发现,针对Palo Alto Networks GlobalProtect 虚拟专用网络门户的恶意扫描活动急剧增加。在30天内,近2.4万个IP地址尝试访问这些关键安全网关,表明黑客正在协同探测网络防御并识别易受攻击的系统。
该攻击活动始于2025年3月17日,迅速攀升至每天约2万个独立IP,并在3月26日后逐渐减弱。GreyNoise已将大多数来源(2.38万个IP)归类为可疑,其中154个IP地址被明确标记为恶意。此次扫描活动引发重大担忧,尤其是在去年发现PAN-OS GlobalProtect中的一个严重命令注入漏洞(CVE-2024-3400)之后。该漏洞许未经身份验证的攻击者在受影响的防火墙上以root权限执行任意代码,获得了最高CVSS评分10.0。
通过技术分析,研究人员识别出与登录扫描工具相关的三个不同JA4h网络指纹哈希:
- po11nn11enus_967778c7bec7_000000000000_000000000000
- po11nn09enus_fb8b2e7e6287_000000000000_000000000000
- po11nn060000_c4f66731b00d_000000000000_000000000000
这些指纹使安全团队能够识别和关联来自同一工具包的不同登录尝试,即使攻击者更改其源IP。
安全专家提醒,使用Palo Alto Networks产品的组织应立即审查3月日志、实施增强监控、进行彻底的威胁搜寻、确保应用所有安全补丁,并考虑阻止已识别的恶意IP。
原文链接:
黑客利用公开PoC代码发起攻击,1500个互联网CrushFTP服务器实例面临风险
安全研究人员警告,黑客正在积极利用CrushFTP文件传输软件中的一个严重认证绕过漏洞(CVE-2025-2825)。攻击者利用公开的概念验证(PoC)代码对未修补的设备发起攻击,实现未经授权的访问。
该漏洞影响CrushFTP 10.0.0至10.8.3版本和11.0.0版本,允许远程且未经身份验证的HTTP请求绕过认证机制,从而获得对系统的未授权访问。CrushFTP公司已敦促客户立即采取行动解决此漏洞,建议无法立即更新的管理员启用DMZ边界网络作为临时安全措施。
Shadowserver的研究人员警告称,威胁行为者正在野外尝试利用该漏洞。根据Shadowserver在2025年3月30日提供的最新数据,目前有超过1,500个未修补的易受攻击实例。
原文链接:
佳能打印机驱动曝严重缓冲区溢出漏洞,多款产品受影响
佳能公司近日发布重要安全更新,警告用户其多款打印机驱动程序存在严重安全漏洞(CVE-2025-1268),影响包括生产型打印机、办公多功能设备和小型办公多功能设备等多种Canon打印机型号。
这一漏洞存在于Canon Generic Plus系列打印机驱动程序中,当特制应用程序处理打印任务时,可能触发缓冲区溢出问题。在特定条件下,该漏洞可能允许未授权代码在受影响系统上执行。这是一个典型的越界漏洞(out-of-bounds vulnerability),可能导致软件出现意外行为,不仅可能阻止打印功能,还可能允许攻击者在系统上执行任意代码。
佳能强调,目前尚未发现该漏洞被积极利用的确认案例,利用该漏洞的频率被认为极低。受影响的打印机驱动程序包括:
- Generic Plus PCL6 Printer Driver 3.12及更早版本
- Generic Plus UFR II Printer Driver 3.12及更早版本
- Generic Plus LIPS4 Printer Driver 3.12及更早版本
- Generic Plus LIPSLX Printer Driver 3.12及更早版本
- Generic Plus PS Printer Driver 3.12及更早版本
佳能敦促用户及时更新驱动程序至最新版本,以修复此安全漏洞。
原文链接:
人为疏忽酿大祸,150万张约会应用私密照片遭泄露
近日,超过150万张个人照片因人为错误而泄露并在网上公开可访问。这些泄露的照片中,大量来自小众和边缘群体,包括BDSM爱好者和LGBT社区成员,使情况更为严重。
据调查,此次泄露源自MAD Mobile运营的云平台。该公司为Translove、Chica、Brish和Pink等多个小众约会网站提供技术服务。泄露的内容包括用户身份验证照片、曾被网站版主拒绝的照片,以及用户之间私下共享的私密图片。这些敏感数据的泄露可能导致受影响个人面临严重的个人和社会后果。
泄露的具体原因是人为失误——未能修补系统中的已知漏洞,为黑客提供了可乘之机,最终导致未经授权的访问和敏感数据盗窃。MAD Mobile发言人确认,该漏洞现已得到解决,并强调据他们所知,泄露的信息尚未在网上被欺诈性访问或滥用。然而,这对那些私人信息已被曝光的个人来说,几乎无法抹去造成的伤害。
原文链接:
Rockwell Automation资产管理系统曝高危漏洞,变量净化不足引发安全风险
工业自动化技术提供商Rockwell Automation近日披露了其Verve Asset Manager产品中存在一个高危安全漏洞(CVE-2025-1449)。该漏洞允许拥有管理员权限的攻击者执行任意命令,影响1.39及更早版本。
根据Rockwell Automation的安全公告,该漏洞源于Verve的Legacy Agentless Device Inventory(ADI)功能的管理网页界面中变量净化不足。尽管该功能自1.36版本起已被弃用,但在受影响系统中仍然存在。此漏洞被归类为CWE-1287:指定类型输入的验证不当,这是软件安全中的常见弱点。利用此漏洞,具有管理员权限的威胁行为者可以在运行服务的容器上下文中执行任意命令。
Rockwell Automation已在Verve Asset Manager 1.40版本中修复了这一安全问题,并敦促所有使用受影响版本的客户尽快升级到已修补版本。对于无法立即升级的客户,Rockwell建议尽可能应用安全最佳实践。
原文链接:
