信号门解决了?报道称记者的电话号码意外保存在特朗普官员的名下
快速阅读: 据《The Register》最新报道,本周发现“WP Ultimate CSV导入器”插件存在两个严重漏洞,允许认证攻击者在某些WordPress站点上上传任意文件或删除文件,可能导致核心文件被控制或删除。建议用户升级到17.9.1或更高版本。
信息简讯:记者电话号码意外出现在Signal群聊
一位名叫杰弗里·戈德堡的记者的电话号码不知为何出现在Signal群聊中。据英国《卫报》报道,美国总统国家安全顾问迈克·沃尔茨不小心将自己的电话号码保存到了一位竞选工作人员的联系人文件中,而这位工作人员后来在国家安全委员会任职。上周日,《卫报》的报道指出,一名熟悉白宫对此事件调查的消息人士透露,在2024年美国总统大选期间,戈德堡曾向特朗普竞选团队发送邮件询问一篇故事的相关问题。竞选工作人员布莱恩·休斯收到了这封邮件,并希望当时的特朗普竞选团队代理发言人沃尔茨能注意到戈德堡的询问,以便在故事发布时提供相关评论。于是,休斯将包括记者电话号码在内的戈德堡的询问转发给了沃尔茨。据报道,沃尔茨随后将戈德堡的电话号码存入了他的联系人文件,以便休斯使用。几个月后,休斯开始在国家安全委员会工作,沃尔茨决定将他纳入一个臭名昭著的“胡塞派PC小群体”Signal群聊,这个群聊专门讨论对也门胡塞叛军的计划攻击。由于沃尔茨保存的号码实际上是戈德堡的电话号码,这位记者意外被邀请加入了该群。接下来的事情大家都知道了:戈德堡曝光了特朗普政府官员使用Signal而非美国政府官方安全通信渠道,这一行为可能使敏感信息处于风险之中,并可能违反政府记录保存要求。
谷歌再次修补Quick Share漏洞
谷歌在修复其Quick Share数据传输软件Windows版本中的十个漏洞时出现了失误。根据攻击模拟公司SafeBreach的研究人员所述,这些漏洞可以被串联起来,从而在任何启用Quick Share功能的Windows电脑上实现完全远程代码执行。谷歌针对被称为“QuickShell”的漏洞发布了修复程序,修复了CVE-2024-38271和CVE-2024-38272,并更新了Quick Share。上周,SafeBreach的研究团队负责人奥尔·亚伊尔在其博客文章中提到,他对QuickShell补丁进行了测试,发现存在两个严重问题。第一个问题是谷歌在修复因无效UTF8延续字节导致的远程拒绝服务问题时犯了错误。亚伊尔和他的同事舒穆埃尔·科恩声称,谷歌的修复措施仅解决了他们提供的概念证明文件中的问题。“谷歌添加了验证文件名是否不以特定的空终止符开头的代码,”亚伊尔写道,“但我们仍然可以通过使用包含不同无效UTF8延续字节的文件名来利用此漏洞。”第二个问题是谷歌尝试但未能成功修复连锁攻击中的远程未经授权的文件写入问题。SafeBreach表示谷歌的修复无法阻止未经授权的写入,并且仅在Quick Share会话结束时删除了一个文件。“我们的假设是,发送第二个文件会让Quick Share误认为只有一个‘未知文件’需要删除,”亚伊尔预测道,“我们的假设得到了证实。”谷歌随后为此问题发布了一个新的CVE和修复程序。Windows版Quick Share 1.0.2002.2及以上版本包含了该修复程序。亚伊尔总结道,这应该作为一个教训,即修复问题,而不是症状。“即使代码复杂,供应商也应该始终解决他们修复的漏洞的实际根本原因,”亚伊尔总结了整个QuickShell事件,“这对整个软件行业都有相关性。”
本周关键漏洞:愚人节快乐
上周,Apache发布了Parquet通用列式文件格式的1.15.1版本,部分原因是为应对本周发布的CVSS 10.0漏洞CVE-2025-30065。该漏洞允许攻击者执行任意代码。思科上周警告称,其智能许可实用程序中的两个漏洞正在被利用。这些漏洞允许未经身份验证的远程攻击者在受影响的系统上收集信息或执行管理员级别的任务,而软件正在运行时。思科于2024年9月更新了该实用程序。
联邦宇宙体漏洞赏金启动
开源治理基金会Nivenly推出了为期一年的漏洞赏金试验计划,旨在鼓励安全研究人员发现Mastodon、Lemy、Funkwhale、PeerTube等“联邦宇宙体”项目的漏洞。根据上周发布的博客文章,Nivenly为识别漏洞或提交CVSS评分在7.0至8.9之间的漏洞补丁的人提供250美元奖励,而CVSS评分9.0以上的关键漏洞价值500美元。由于这是一个“时间和资金有限”的活动,从现在起至2025年9月30日,总共有5000美元奖金可供领取,个人贡献者最多可获得1000美元奖励。
联邦宇宙体是一个松散的社会媒体服务联盟,允许用户选择将其内容聚合到单一提要中。
甲骨文健康警告存在遗留服务器信息泄露问题
欧洲刑警组织警告说,黑帮与网络犯罪集团正在重叠,并使用人工智能作恶。
联邦通信委员会成立国家安全委员会,以对抗中国的方式与中国竞争。
微软承认GitHub托管了感染近百万设备的恶意软件。
巴尔的摩在复杂的供应商欺诈计划中被骗
上周,马里兰州巴尔的摩市府承认,在成为复杂的供应商冒充骗局的受害者后损失了近一百万美元。据当地新闻来源报道,一名身份不明的冒充者花费数月时间冒充供应商员工,使用经典供应商冒充技巧,如更改供应商的银行账户信息,并说服市政府向他们发送两笔款项——一笔为721,000美元,另一笔为803,000美元。前者已追回,后者仍下落不明。这名骗子显然费尽心机欺骗他们的受害者,提供了合法的银行账户信息变更文件。犯罪分子还据说使用Starlink账户掩盖他们的IP地址,这帮助他们避免了城市系统用来阻止海外骗子的地理围栏技术。“他们有很好的技术,所以我们必须始终保持警惕,才能领先一步,”巴尔的摩副审计长埃里卡·麦克拉姆告诉《巴尔的摩旗帜报》。“在这种情况下,我们落后了一步。”
又一周,又一个严重的WordPress插件漏洞
WordPress插件经常被发现包含严重的安全漏洞,本周我们又有两个要报告——都在“WP Ultimate CSV导入器”插件中,这是一个名副其实的工具,拥有超过20,000个活跃安装。专注于插件的安全公司WordFence上周报告了名为“WP Ultimate CSV导入器”的WordPress插件中的两个重大漏洞。这些漏洞包括CVSS 8.8的任意文件上传漏洞(CVE-2025-2008)和CVSS 8.1的任意文件删除漏洞(CVE-2025-2007)。当一起利用时,具有订阅者级别访问权限的认证攻击者可以在使用WP Ultimate CSV导入器的站点上潜在地控制并甚至删除核心WordPress文件,如wp-config.php。补丁可用——任何使用受影响插件的人都应确保他们使用的是版本17.9.1或更新版本。
(以上内容均由Ai生成)
