Topic
#security
按主题聚合的新闻视图。
Topic Feed
主题:security
共 12 条

旧款 iPhone 存在无法修补的 BootROM 漏洞
安全研究人员 Paradigm Shift 公开了一个名为 usbliter8 的可用漏洞利用,目标是搭载 A12 或 A13 芯片的 iPhone 的 SecureROM/BootROM。由于漏洞位于 ROM 中,Apple 无法通过常规 iOS 更新修复它。
Meta AI 聊天机器人被用于劫持 Instagram 账户
有报道称,Meta 的 AI 客服聊天机器人被诱骗为攻击者更改高关注度 Instagram 账户的绑定邮箱,从而绕过了正常的账号找回安全措施。Meta 之后修复了这一问题,而该漏洞据称已存在数月,并被用于攻击有高价值的账户。
AI辅助安全报告压垮curl维护者
Daniel Stenberg 表示,curl 项目正面临前所未有的大量可信的 AI 辅助安全报告。当前安全报告平均每天超过一条,约为 2024 年的 4 到 5 倍,也大约是 2025 年速度的两倍。

Starlette漏洞危及AI代理和Python服务
安全研究人员表示,Starlette 中存在一个严重漏洞,编号为 CVE-2026-48710,代号 BadHost,攻击者只需在 HTTP Host 头中构造一个字符,就可能绕过基于路径的授权。该漏洞影响 1.0.1 之前的 Starlette 版本,并且被认为在许多暴露在公网的系统上都很容易利用。
TRE Python 绑定展示抗 ReDoS 能力
Simon Willison 发布了一篇研究笔记,介绍一个面向 TRE 正则表达式引擎的实验性 Python 绑定。这个绑定使用 ctypes,并由 Claude Code 协助构建;在测试恶意正则模式时,TRE 的表现比 Python 标准库更稳健,主要原因是它不支持回溯。

云开发平台 Vercel 因第三方 AI 工具被黑
云开发平台 Vercel 因一个被攻破的第三方 AI 工具遭遇安全漏洞,攻击者(自称来自 ShinyHunters 组织)在网上发布了员工姓名、邮箱和活动时间戳等信息。
Datasette 用 Sec-Fetch-Site 头部替代 CSRF 令牌保护
Datasette 已经用基于 Sec-Fetch-Site HTTP 头的保护方式取代了传统的 CSRF 令牌机制。这一改动移除了模板中所需的隐藏 CSRF 令牌输入和相关插件钩子。
scan-for-secrets 0.3 版本发布,新增数据脱敏功能
Simon Willison发布了scan-for-secrets的0.3版本,新增了-r/--redact选项,可在替换检测到的密钥前提示用户确认。同时新增了一个Python函数redact_file(),支持程序化安全替换文件中的敏感信息。
scan-for-secrets 0.2 版本发布,支持流式输出和多目录扫描
scan-for-secrets 0.2 版本新增了边发现边流式输出结果的功能,可通过多次使用 -d 参数扫描多个目录,并新增了三个 Python API 函数:scan_directory_iter()、scan_file() 和 scan_file_iter()。
JavaScript能否绕过iframe中的CSP元标签?
西蒙·威尔森测试了iframe内不受信任的JavaScript是否能绕过通过<meta>标签设置的内容安全策略(CSP)。他发现,即使这些脚本试图修改或删除该元标签,CSP仍然会被遵守。
Axios遭遇供应链攻击,植入恶意依赖包
一起供应链攻击通过向 Axios 的版本 1.14.1 和 0.30.4 注入名为 'plain-crypto-js' 的恶意依赖包,破坏了这个广受欢迎的 npm 包。该恶意代码窃取用户凭证并安装远程访问木马(RAT)。