FreeBuf早报 | 无印良品因勒索攻击暂停销售;微软Copilot漏洞可窃取数据
全球网安事件频发:无印良品因物流商遭勒索攻击暂停线上销售;微软安全更新引发系统瘫痪;俄罗斯黑客泄露英国国防部机密;苹果多系统存高危漏洞;7-Zip路径遍历漏洞威胁未修复系统;Apache Syncope曝远程代码执行漏洞;npm生态系统传播恶意框架;Xubuntu官网遭入侵分发恶意软件。 2025-10-22 10:1:16 Author: www.freebuf.com(查看原文) 阅读量:7 收藏

全球网安事件速递

1. 无印良品因物流合作伙伴遭勒索攻击暂停线上销售

无印良品因物流商Askul遭勒索攻击暂停线上销售,订单处理和网站功能中断。Askul关键业务全面瘫痪,数据泄露风险待查。近期日本企业频遭攻击,朝日集团此前也因勒索软件泄露27GB数据。【外刊-阅读原文

2. Microsoft 365 Copilot 提示注入漏洞可导致攻击者窃取敏感数据

Microsoft 365 Copilot曝间接提示注入漏洞,攻击者可利用恶意Excel表格隐藏指令,诱导AI窃取企业邮件数据并通过Mermaid图表伪装外泄。微软已修复漏洞,凸显AI集成安全风险。【外刊-阅读原文

3. 安全补丁还是自造DDoS?微软更新导致关键企业功能瘫痪

微软2025年10月安全更新KB5066835引发企业系统混乱,导致智能卡认证失效、USB设备失灵、IIS网站崩溃等问题。虽旨在提升加密安全,却造成业务中断。微软建议修改注册表临时修复,但警告操作风险。企业需测试补丁并制定应急方案,长期仍需适应新技术升级。【外刊-阅读原文

4. 俄罗斯Lynk黑客组织泄露英国国防部敏感文件 含八处军事基地信息

俄黑客组织Lynx入侵英国国防承包商Dodd集团,窃取4TB敏感数据,含八处英军基地机密文件,涉及F-35战机部署及核武存放信息,被英媒称为"灾难性"泄露。国防部已展开调查。【外刊-阅读原文

5. CISA警告苹果macOS/iOS/tvOS/Safari/watchOS漏洞正遭攻击者利用

CISA警告苹果多系统存在高危漏洞CVE-2022-48503,攻击者可诱骗用户访问恶意网页执行任意代码,影响macOS、iOS等设备。虽已发布补丁,但未更新或老旧系统仍面临风险。【外刊-阅读原文

6. 公开漏洞利用代码的7-Zip缺陷(CVE-2025-11001)威胁未修复系统

7-Zip曝路径遍历漏洞(CVE-2025-11001),可致远程代码执行,v25.00已修复。PoC代码公开后攻击风险激增,用户需立即升级。无自动更新机制加剧威胁,建议利用PoC测试防御措施。【外刊-阅读原文

7. Apache Syncope Groovy脚本远程代码执行漏洞(CVE-2025-57738)分析

Apache Syncope存在高危RCE漏洞(CVE-2025-57738),攻击者可上传恶意Groovy脚本执行任意代码。影响3.0.14和4.0.2之前版本,需立即升级或禁用Groovy引擎。漏洞利用简单,危害大,可导致系统完全控制。【外刊-阅读原文

8. 微软紧急修复Windows恢复环境关键漏洞

微软Windows 11更新KB5066835导致localhost访问和WinRE输入失效,前者已通过KIR修复,后者需紧急补丁KB5070773。WinRE故障使USB外设失效,仅PS/2设备可用,微软正自动部署补丁,但已卡死用户仍需等待解决方案。【外刊-阅读原文

9. 攻击者利用 npm 生态系统传播 AdaptixC2 攻击后渗透框架

2025年出现的AdaptixC2攻击框架通过伪装成npm包传播,针对Windows、macOS和Linux系统定制感染策略,部署隐蔽后门,威胁开源供应链安全。【外刊-阅读原文

10. 威胁攻击者入侵Xubuntu官网分发恶意Windows可执行文件

威胁攻击者入侵Xubuntu官网,将下载重定向至含Windows恶意软件的ZIP文件,针对迁移用户窃取加密货币。事件24-48小时内被发现,未确认感染案例。团队已禁用受影响页面并计划升级网站安全。【外刊-阅读原文

优质文章推荐

1. 某大学生常用APP抓包数据加密流程分析

某大学生APP登录请求加密流程:参数d为核心加密参数,包含账号、3DES加密密码、时间戳和签名。加密过程涉及3DES错误实现、SHA-512签名、RSA加密随机串和AES加密业务数据,最终Base64编码生成参数d。【阅读原文

2. 应急响应 | windows安全加固

实验指导Windows Server 2016安全加固,涵盖密码策略、账户锁定、远程管理安全、端口管理、用户权限、日志审核等关键步骤,提升系统安全性,防范攻击。【阅读原文

3. Java反序列化:fastjson原生反序列化深度剖析

fastjson 1.2.48及以下版本存在反序列化漏洞,利用JSONObject/JSONArray的toString方法触发TemplatesImpl的getter方法执行恶意代码。1.2.49版本通过引用类型绕过SecureObjectInputStream的安全检查,仍可成功利用。【阅读原文

漏洞情报精华

1. 金和OA BookUpdate.aspx SQL注入漏洞

https://xvi.vulbox.com/detail/1980891915511533568

2. 用友NC OAUserQryServlet 反序列化漏洞

https://xvi.vulbox.com/detail/1980881146157862912

3. 同享人力资源管理系统 TXEHR V15 PeiXun.asmx SQL注入漏洞

https://xvi.vulbox.com/detail/1980875675036422144

*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册原链接平台账号后方可阅读。


文章来源: https://www.freebuf.com/news/453675.html
如有侵权请联系:admin#unsafe.sh