一、安全资讯
1.CrushFTP CVE-2025-2825 漏洞
该漏洞影响CrushFTP 版本 10.0.0 至 10.8.3 和 11.0.0,可能导致未经身份验证的访问。对 CrushFTP 的远程和未经身份验证的 HTTP 请求可能允许攻击者获得未经授权的访问。
文件传输软件制造商 CrushFTP 敦促客户立即采取行动解决此漏洞。无法更新安装的管理员应启用 DMZ 外围网络作为临时安全措施。
目前发现网上暴露了大约 1,800 个漏洞实例,主要(904 个)在美国。仍有 1512 个未修补的实例易受 CVE-2025-2825 攻击。
【参考链接】
https://securityaffairs.com/176097/hacking/crushftp-cve-2025-2825-flaw-actively-exploited.html
2.法国对苹果处以 1.5 亿欧元罚款
法国竞争管理局对苹果公司处以 1.5 亿欧元罚款,原因是该公司在 2021 年 4 月 26 日至 2023 年 7 月 25 日期间滥用其在 iOS 和 iPadOS 上的应用程序跟踪透明度 (ATT) 同意实践中的主导地位。
苹果在 iOS 14.5 中推出了ATT ,要求应用程序必须征得用户同意才能访问广告商标识符 (IDFA),以便进行跟踪和定向广告。
广告商标识符 (IDFA)是Apple 为用户设备分配的唯一随机标识符。它允许广告商在应用程序和网站上跟踪用户活动,以便在保持用户匿名的情况下进行有针对性的广告。用户可以通过隐私设置重置或禁用 IDFA。
法国监管机构发现,苹果的 ATT 框架虽然本身没有问题,但其实施方式既不必要又不合理。苹果的 ATT 框架导致过多的弹出窗口,使第三方应用程序的使用变得复杂。它缺乏中立性,损害了依赖第三方数据的小型出版商的利益,导致应用程序开发商和广告服务提供商的经济劣势。
【参考链接】
https://securityaffairs.com/176092/laws-and-regulations/frances-antitrust-authority-fines-apple-e150m.html
研究人员发现了一个新的网络钓鱼即服务 (PhaaS) 平台,该平台生成了多个名为 Morphing Meerkat 的网络钓鱼工具包,使用 DNS 邮件交换 (MX) 记录来传递虚假的登录页面并瞄准 100 多个品牌。
威胁者正在利用 DNS 技术来增强网络钓鱼攻击,使用 MX 记录动态提供伪造的登录页面。他们还滥用开放重定向、受感染的域并分发被盗凭据。
Morphing Meerkat 工具包背后的网络钓鱼即服务 (PhaaS) 平台已活跃至少五年。它始终采用相同的策略和核心资源,但其使用 MX 记录进行网络钓鱼的情况却基本未被报道。
研究人员认为,Morphing Meerkat 已经发送了数千条垃圾邮件。攻击者从相对集中的电子邮件服务器发送邮件,这些服务器主要属于互联网服务提供商 (ISP) iomart(英国)和 HostPapa(美国)。一致的策略表明这是一个集中式网络钓鱼即服务 (PhaaS) 平台,而不是多个独立参与者,因为电子邮件活动并未广泛分布在提供商之间。
Infoblox 发布的报告指出:“我们发现早在 2020 年 1 月就存在使用钓鱼工具包的网络活动。这些早期版本只能提供伪装成五个电子邮件品牌的钓鱼网页模板:Gmail、Outlook、AOL、Office 365 和 Yahoo。它们也没有翻译模块,因此这些工具包只能在钓鱼模板中显示英文文本。” “随着时间的推移,Morphing Meerkat 扩展了模板库,我们目前看到 114 种不同的品牌设计。到 2023 年 7 月,这些工具包可以根据 DNS MX 记录动态加载钓鱼页面。如今,钓鱼工具包还可以根据受害者的网络资料动态翻译文本,并以十几种不同的语言定位用户。”
【参考链接】
https://securityaffairs.com/176029/cyber-crime/morphing-meerkat-phishing-kits-exploit-dns-mx.html
二、漏洞补丁
4.ChuanhuChatGPT资源管理错误漏洞(CNVD-2025-06195)
ChuanhuChatGPT是一款应用程序,为ChatGPT等多种LLM提供了一个轻快好用的Web图形界面和众多附加功能。ChuanhuChatGPT 20240628版本存在资源管理错误漏洞,该漏洞源于不受控制的资源消耗可能导致服务长时间不可用,攻击者可利用此漏洞造成应用拒绝服务。
【参考链接】
https://huntr.com/bounties/db67276d-36ee-4487-9165-b621c67ef8a3
5.Huawei HarmonyOS media library模块权限校验漏洞的补丁
Huawei HarmonyOS media library模块存在权限校验漏洞,攻击者可利用该漏洞导致机密性受影响。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。
【参考链接】
https://consumer.huawei.com/en/support/bulletin/2025/2/
关注【网络安全等级保护小学堂】知识星球。定期分享网络安全、数据安全、商用密码、等级保护、AI技术相关内容。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...