正文

今日网络安全资讯推送【2025-04-02】苹果被罚1.5亿欧元

admin
admin V管理员 /0 评论 /48 阅读
0402
此篇文章发布距今已超过22天,您需要注意文章的内容或图片是否可用!
以下是今日网络安全资讯更新推送

一、安全资讯

1.CrushFTP CVE-2025-2825 漏洞

攻击者利用 CrushFTP CVE-2025-2825 漏洞,使用公共概念验证代码实现对未修补设备的未经身份验证的访问。正在利用 CrushFTP 文件传输软件中一个关键的身份验证绕过漏洞(编号为CVE-2025-2825)。攻击者正在使用基于公开的概念验证漏洞代码的漏洞。

该漏洞影响CrushFTP 版本 10.0.0 至 10.8.3 和 11.0.0,可能导致未经身份验证的访问。对 CrushFTP 的远程和未经身份验证的 HTTP 请求可能允许攻击者获得未经授权的访问。

文件传输软件制造商 CrushFTP 敦促客户立即采取行动解决此漏洞。无法更新安装的管理员应启用 DMZ 外围网络作为临时安全措施。

目前发现网上暴露了大约 1,800 个漏洞实例,主要(904 个)在美国。仍有 1512 个未修补的实例易受 CVE-2025-2825 攻击。

【参考链接】

https://securityaffairs.com/176097/hacking/crushftp-cve-2025-2825-flaw-actively-exploited.html

2.法国对苹果处以 1.5 亿欧元罚款

法国竞争管理局对苹果公司处以 1.5 亿欧元罚款,原因是该公司在 2021 年 4 月 26 日至 2023 年 7 月 25 日期间滥用其在 iOS 和 iPadOS 上的应用程序跟踪透明度 (ATT) 同意实践中的主导地位。

苹果在 iOS 14.5 中推出了ATT ,要求应用程序必须征得用户同意才能访问广告商标识符 (IDFA),以便进行跟踪和定向广告。

广告商标识符 (IDFA)是Apple 为用户设备分配的唯一随机标识符。它允许广告商在应用程序和网站上跟踪用户活动,以便在保持用户匿名的情况下进行有针对性的广告。用户可以通过隐私设置重置或禁用 IDFA。

法国监管机构发现,苹果的 ATT 框架虽然本身没有问题,但其实施方式既不必要又不合理。苹果的 ATT 框架导致过多的弹出窗口,使第三方应用程序的使用变得复杂。它缺乏中立性,损害了依赖第三方数据的小型出版商的利益,导致应用程序开发商和广告服务提供商的经济劣势。

【参考链接】

https://securityaffairs.com/176092/laws-and-regulations/frances-antitrust-authority-fines-apple-e150m.html

3.Morphing Meerkat 网络钓鱼工具包利用 DNS MX 记录来提供欺骗性的登录页面

研究人员发现了一个新的网络钓鱼即服务 (PhaaS) 平台,该平台生成了多个名为 Morphing Meerkat 的网络钓鱼工具包,使用 DNS 邮件交换 (MX) 记录来传递虚假的登录页面并瞄准 100 多个品牌。

威胁者正在利用 DNS 技术来增强网络钓鱼攻击,使用 MX 记录动态提供伪造的登录页面。他们还滥用开放重定向、受感染的域并分发被盗凭据。

Morphing Meerkat 工具包背后的网络钓鱼即服务 (PhaaS) 平台已活跃至少五年。它始终采用相同的策略和核心资源,但其使用 MX 记录进行网络钓鱼的情况却基本未被报道。

研究人员认为,Morphing Meerkat 已经发送了数千条垃圾邮件。攻击者从相对集中的电子邮件服务器发送邮件,这些服务器主要属于互联网服务提供商 (ISP) iomart(英国)和 HostPapa(美国)。一致的策略表明这是一个集中式网络钓鱼即服务 (PhaaS) 平台,而不是多个独立参与者,因为电子邮件活动并未广泛分布在提供商之间。

Infoblox 发布的报告指出:“我们发现早在 2020 年 1 月就存在使用钓鱼工具包的网络活动。这些早期版本只能提供伪装成五个电子邮件品牌的钓鱼网页模板:Gmail、Outlook、AOL、Office 365 和 Yahoo。它们也没有翻译模块,因此这些工具包只能在钓鱼模板中显示英文文本。” “随着时间的推移,Morphing Meerkat 扩展了模板库,我们目前看到 114 种不同的品牌设计。到 2023 年 7 月,这些工具包可以根据 DNS MX 记录动态加载钓鱼页面。如今,钓鱼工具包还可以根据受害者的网络资料动态翻译文本,并以十几种不同的语言定位用户。”

【参考链接】

https://securityaffairs.com/176029/cyber-crime/morphing-meerkat-phishing-kits-exploit-dns-mx.html

二、漏洞补丁

4.ChuanhuChatGPT资源管理错误漏洞(CNVD-2025-06195)

ChuanhuChatGPT是一款应用程序,为ChatGPT等多种LLM提供了一个轻快好用的Web图形界面和众多附加功能。ChuanhuChatGPT 20240628版本存在资源管理错误漏洞,该漏洞源于不受控制的资源消耗可能导致服务长时间不可用,攻击者可利用此漏洞造成应用拒绝服务。

【参考链接】

https://huntr.com/bounties/db67276d-36ee-4487-9165-b621c67ef8a3

5.Huawei HarmonyOS media library模块权限校验漏洞的补丁

 Huawei HarmonyOS media library模块存在权限校验漏洞,攻击者可利用该漏洞导致机密性受影响。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。

【参考链接】

https://consumer.huawei.com/en/support/bulletin/2025/2/

【网络安全等级保护小学堂】知识星球定期分享网络安全、数据安全、商用密码、等级保护、AI技术相关内容


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
周飒博客-ZhouSa.com