安全工具正以人類無法企及的速度發現漏洞,這是好消息。壞消息是——攻擊者手里拿著同樣快、同樣準的工具,而且他們不需要提交工單,不需要走變更流程,也不需要等誰的批準。
這就是過去一周安全圈的真實切片。值得信賴的代碼反過來捅了安裝它的人一刀。去年的老舊漏洞依然在造成損失,僅僅因為補丁在隊列里躺了太久。假安裝程序、被投毒的開源包、赤身裸體暴露在公網上的系統,還有那些乖巧的AI編程助手,正忠實地執行著從未屬于你的指令。
![]()
“補丁已存在”與“已被利用”之間的時間窗口正以肉眼可見的速度收窄,但沒有人真正在關這扇窗。沒有一件事是高深的攻擊手法。這正是最讓人疲憊的地方——同樣平庸的錯誤,只是爆發的速度超過了我們應對的速度。以下是本周需要你關注的全貌,從上到下捋一遍。
文件協作平臺ShareFile的母公司Progress本周做了一件不尋常的事:直接要求客戶關停運行著Storage Zone Controllers的Windows服務器。公司給出的理由是一起“可信的外部安全威脅”,措辭里藏著一種罕見的緊迫感。Progress已經臨時禁用了受影響賬戶的訪問權限,對外解釋是“出于高度謹慎”,同時內部和外部安全專家正在聯手排查。威脅的具體性質到目前為止仍是個謎。不過Progress也明確了一點:目前沒有任何跡象表明ShareFile賬戶或數據遭到了未授權訪問。話雖落地,但讓你主動關服務器的安全公告,本身就值得你多看兩眼。
AI安全崗位在2026年到底哪些方向在真金白銀地招人?SANS研究所給出了一個有數據支撐的答案。他們追蹤了10個具體角色的招聘情況,把經過驗證的職位數據、薪資范圍和每個崗位需要的技能圖譜全部攤開,整理成了一套三階梯框架。底層是眼下就該優先填坑的角色,往上兩層是需要逐步培養發展的方向。如果你的團隊正在糾結安全招聘的優先級排序要怎么做,這套框架提供了一個能落地的參照坐標。
郵件協作系統Zimbra本周緊急呼吁用戶打補丁,修復經典網頁客戶端里的一個嚴重漏洞。這個漏洞本質上是一起存儲型跨站腳本攻擊,攻擊者可以構造一封經過精心設計的郵件,當用戶打開這封郵件時,惡意腳本就會在用戶會話中執行。后果包括郵箱信息泄露、會話數據被竊、賬戶設置被篡改。漏洞目前還沒有拿到CVE編號,但這絲毫不影響它的危險性。Zimbra在公告里的原話直截了當:“這次更新修復了經典網頁客戶端的一個安全問題,攻擊者可以利用特制郵件在郵件被打開時運行惡意代碼。”
JavaScript代碼保護工具Jscrambler的npm包本周確認遭到供應鏈攻擊,被植入了一個基于Rust語言編寫的信息竊取程序。這個惡意軟件胃口不小,專門盯著開發者電腦里的各類密鑰和敏感憑據,而且跨平臺通吃——Windows、macOS、Linux無一幸免。Jscrambler的調查結論指出,攻擊者是通過一份已被攻陷的npm發布憑證得手的。這一攻擊活動與安全公司JFrog上個月首次記錄的IronWorm行動存在戰術重疊。惡意軟件此前僅針對Linux平臺,如今進化出了三平臺兼容能力,攻擊面直接翻了三倍,同時擴展了持久化駐留機制,還能自動傳播復制自身。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.