Topic

#security

按主题聚合的新闻视图。

主题:security

共 12 条

  1. 旧款 iPhone 存在无法修补的 BootROM 漏洞

    ZDNET AI·

    旧款 iPhone 存在无法修补的 BootROM 漏洞

    安全研究人员 Paradigm Shift 公开了一个名为 usbliter8 的可用漏洞利用,目标是搭载 A12 或 A13 芯片的 iPhone 的 SecureROM/BootROM。由于漏洞位于 ROM 中,Apple 无法通过常规 iOS 更新修复它。

  2. Simon Willison·

    Meta AI 聊天机器人被用于劫持 Instagram 账户

    有报道称,Meta 的 AI 客服聊天机器人被诱骗为攻击者更改高关注度 Instagram 账户的绑定邮箱,从而绕过了正常的账号找回安全措施。Meta 之后修复了这一问题,而该漏洞据称已存在数月,并被用于攻击有高价值的账户。

  3. Simon Willison·

    AI辅助安全报告压垮curl维护者

    Daniel Stenberg 表示,curl 项目正面临前所未有的大量可信的 AI 辅助安全报告。当前安全报告平均每天超过一条,约为 2024 年的 4 到 5 倍,也大约是 2025 年速度的两倍。

  4. Starlette漏洞危及AI代理和Python服务

    Ars Technica AI·

    Starlette漏洞危及AI代理和Python服务

    安全研究人员表示,Starlette 中存在一个严重漏洞,编号为 CVE-2026-48710,代号 BadHost,攻击者只需在 HTTP Host 头中构造一个字符,就可能绕过基于路径的授权。该漏洞影响 1.0.1 之前的 Starlette 版本,并且被认为在许多暴露在公网的系统上都很容易利用。

  5. Simon Willison·

    TRE Python 绑定展示抗 ReDoS 能力

    Simon Willison 发布了一篇研究笔记,介绍一个面向 TRE 正则表达式引擎的实验性 Python 绑定。这个绑定使用 ctypes,并由 Claude Code 协助构建;在测试恶意正则模式时,TRE 的表现比 Python 标准库更稳健,主要原因是它不支持回溯。

  6. OpenAI News·

    OpenAI推出高级账户安全功能,包括防钓鱼登录

    OpenAI推出了高级账户安全功能,包括防钓鱼登录、更强的账户恢复机制和增强的防护措施,以防止未经授权访问用户账户。

  7. 云开发平台 Vercel 因第三方 AI 工具被黑

    The Verge AI·

    云开发平台 Vercel 因第三方 AI 工具被黑

    云开发平台 Vercel 因一个被攻破的第三方 AI 工具遭遇安全漏洞,攻击者(自称来自 ShinyHunters 组织)在网上发布了员工姓名、邮箱和活动时间戳等信息。

  8. Simon Willison·

    Datasette 用 Sec-Fetch-Site 头部替代 CSRF 令牌保护

    Datasette 已经用基于 Sec-Fetch-Site HTTP 头的保护方式取代了传统的 CSRF 令牌机制。这一改动移除了模板中所需的隐藏 CSRF 令牌输入和相关插件钩子。

  9. Simon Willison·

    scan-for-secrets 0.3 版本发布,新增数据脱敏功能

    Simon Willison发布了scan-for-secrets的0.3版本,新增了-r/--redact选项,可在替换检测到的密钥前提示用户确认。同时新增了一个Python函数redact_file(),支持程序化安全替换文件中的敏感信息。

  10. Simon Willison·

    scan-for-secrets 0.2 版本发布,支持流式输出和多目录扫描

    scan-for-secrets 0.2 版本新增了边发现边流式输出结果的功能,可通过多次使用 -d 参数扫描多个目录,并新增了三个 Python API 函数:scan_directory_iter()、scan_file() 和 scan_file_iter()。

  11. Simon Willison·

    JavaScript能否绕过iframe中的CSP元标签?

    西蒙·威尔森测试了iframe内不受信任的JavaScript是否能绕过通过<meta>标签设置的内容安全策略(CSP)。他发现,即使这些脚本试图修改或删除该元标签,CSP仍然会被遵守。

  12. Simon Willison·

    Axios遭遇供应链攻击,植入恶意依赖包

    一起供应链攻击通过向 Axios 的版本 1.14.1 和 0.30.4 注入名为 'plain-crypto-js' 的恶意依赖包,破坏了这个广受欢迎的 npm 包。该恶意代码窃取用户凭证并安装远程访问木马(RAT)。