安全资讯 第5页
聚合当前分类下的最新内容,按时间顺序查看第 5 页精选文章。
微软补了两个零日,真正该追的是漏洞治理这笔账
微软在 6 月补丁日修复约 200 个漏洞,其中包括 Nightmare Eclipse 提前公开的两个 Windows 高危零日。CVE-2026-45586 尚无主动利用迹象,但利用门槛低,可串联拿到 SYSTEM;MiniPlasma 被微软归到 CVE-2020-17103,更像旧补丁没补干净或发生回归。对企业管理员来说,动作不是围观争吵,而是排补丁优先级、核对 BitLocker 缓解、盯住微软后续根因修复。
国会险胜拨款700亿美元:DHS扩权,比驱逐口号更值得盯
美国国会以众议院214比212、参议院52比47的窄幅结果,通过预算协调法案,未来三年向DHS追加约700亿美元。 这笔钱将强化特朗普的大规模驱逐和移民执法议程,但更关键的是程序:钱先进入执法体系,ICE/CBP改革和约束条款没有同步跟上。 受影响的不只是移民群体。边境与城市社区、地方政府、法律援助机构,以及关注美国科技政策和国家监控能力的人,都要盯预算如何变成日常执法动作。
npm v12 要改的不是安装命令,是默认信任
npm v12 预计 2026 年 7 月发布,依赖脚本、Git 依赖、远程 URL 依赖都会从默认放行改成显式许可。npm 11.16.0+ 已经会用 warning 提前暴露风险点。真正要准备的不是背参数,而是把项目里谁能执行脚本、谁能拉远程代码写进清单。
CISA给联邦民用机构三天期限:Check Point VPN漏洞为何被紧急处置
CISA要求美国联邦民用机构在6月11日结束前修复Check Point远程访问、防火墙和VPN产品中的已遭利用漏洞,依据是BOD 22-01和已知被利用漏洞处置机制。真正的风险不在于“又一个VPN漏洞”,而在于边界安全设备本身成了入侵入口,且Check Point称Qilin已用该漏洞入侵全球数十个目标组织。企业运维团队不应把这看作只影响美国政府的合规事件,使用相关产品的组织都需要立即核查暴露面和补丁状态。
Linux 内核一个感叹号引发本地提权:风险不在远程破门,而在拿到入口之后
Linux 内核 nf_tables 子系统因一处错误的感叹号引入 use-after-free 漏洞,本地非特权用户在特定环境下可能提权到 root。它不是远程直接入侵漏洞,真实风险在攻击链后半段:攻击者已有低权限入口后,用它突破沙箱、扩大控制权。内核已在 2026 年 2 月修复,PoC 已公开,管理员和安全响应人员现在该优先核查版本、低权限暴露面和发行版公告。
无人艇救起阿帕奇飞行员,美军试的不是救援噱头
美军称,两名坠海的 AH-64“阿帕奇”机组已在阿曼近海获救,CENTCOM 只确认 Task Force 59 参与;“无人艇完成救援”和“美军首次”来自匿名美军官员对 CBS、ABC 的说法。坠机原因仍未确定,不能写成被伊朗击落,也不能把一次救援吹成无人艇已能替代有人搜救。真正值得看的是:无人系统正在被放进高风险、要承担后果的战场流程里。
Meta智能眼镜人脸识别代码被撤下:真正的问题是“未启用但已分发”
WIRED披露Meta AI应用内含未启用的人脸识别组件后,Meta在一天内从新版应用移除了NameTag相关大部分代码。Meta称这只是探索性项目,尚未作最终决定,但拒绝说明为何移除、是否会回归。我的判断是:重点不是它有没有上线,而是一套生物识别能力已进入5000万装机量的配套应用,却缺少清楚的数据流和同意机制说明。
FCC 拟收紧手机开户身份核验:美国匿名号码空间可能被压缩
美国 FCC 仍在征求意见,拟要求运营商在新用户和续约用户开通服务前,收集姓名、实体地址、政府签发身份证件号码和备用电话,评论截止日期为 6 月 25 日。它的官方理由是打击诈骗电话和短信滥用,但 ACLU、EFF、CDT 和 Cape 批评,这会形成事实上的全国手机身份登记。真正的争议不是要不要追踪骗子,而是能不能为了追踪少数违法者,让所有通信用户先交出更多身份信息。
俄罗斯预警卫星疑似短时干扰欧洲GPS:几秒钟,已经够说明问题
研究人员分析2019年1月至2026年4月的欧洲GNSS地面站数据,发现75天出现至少一次广域干扰,单次通常不到10秒,却能被欧洲多地同时探测。一次事件被阿姆斯特丹和特隆赫姆两站原始无线电信号锁定到俄罗斯EKS预警卫星Kosmos 2546,但这不等于所有事件都来自它。真正值得警惕的是,卫星级GPS干扰正在把电子战从局部战场推向大陆尺度的灰色威慑。
Meta指控NSO再碰WhatsApp禁令:Pegasus生意被逼到墙角
Meta称WhatsApp拦截了与NSO相关的新一轮鱼叉式钓鱼尝试,并要求法院认定NSO违反此前永久禁令。现在还不能说法院已认定NSO藐视法庭,也不能断言用户已被成功感染。真正要看的,是当Pegasus在2025年代表NSO全部销售额时,禁令、平台封堵和政府客户需求能不能压住这门生意继续越线。
苹果在 WWDC 2026 推家长控制:儿童安全功能背后,是年龄验证责任之争
苹果在 WWDC 2026 把儿童安全放到台前,更新儿童账户、屏幕时间、信息图片拦截和开发者 API。 这组功能能帮家长更细地管设备,但苹果的真正边界很清楚:家长做决定,开发者管应用体验,苹果不替整个互联网兜底。 争议焦点在年龄验证。Meta 等开发者希望应用商店承担入口验证,苹果反对,并用隐私风险和新工具回应监管压力。
微软下线数十个开源仓库:AI 编程工具的钥匙链被盯上了
微软临时下线至少 70 个 GitHub 开源项目,调查 Azure 与 AI 编程相关工具中潜在的窃密恶意代码,部分仓库审查后已恢复。恶意代码目标指向开发者密码和敏感凭据,下载人数和影响规模仍未公开。真正要看的不是某个库是否中招,而是 AI 编程入口把开发者权限集中后,供应链清场能力够不够用。
Signal 反对英国设备扫描:保护儿童,不能先检查所有人
Signal 反对英国一项隐私提案威胁:对在英国销售或使用的设备进行涉裸内容识别,并叠加年龄验证。它认为,受影响者不只是儿童,而是所有英国居民的通信和隐私权。儿童保护是正当目标,但把扫描能力放进设备和通信入口,等于把私人通信改造成先验审查。
微软 73 个 GitHub 包被植入窃密蠕虫:AI 编程代理成触发入口
2026 年 6 月初,微软官方 GitHub 账号下 73 个开源包被 GitHub 自动系统拦截并禁用;研究人员判定这些包植入了 Miasma 凭据窃取蠕虫,微软称正在调查潜在恶意内容。麻烦点不只是恶意包,而是攻击者疑似借合法发布凭据、OIDC/SLSA 信任链和 AI 编程代理执行路径,把攻击伪装进正常开发流程。使用过相关包、并把 Claude Code、Gemini CLI、Cursor、VS Code 等工具接入项目的团队,应按凭据可能外泄处理。
阿里、百度、比亚迪被列入1260H名单:美国开始给中国硬科技重新定性
美国国防部更新1260H“中国军方支持实体”名单,阿里巴巴、百度、比亚迪、宇树科技等被列入,名单总数增至188家公司。1260H名单不等于立即制裁,但会抬高美国企业合作、投资、采购和供应链合规成本。更关键的变化是,美国正在把中国AI、电动车、机器人、传感器和电池产业放进同一套安全叙事里。
车牌识别要接入耳机和手表信号:ALPR 正在从跟车跨到跟人
Leonardo 计划把 SignalTrace 传感器接入自动车牌识别摄像头,采集 Bluetooth、RFID、Wi-Fi、车载系统等设备标识,并与车牌、时间、地点关联。它目前未被证实已大规模部署,但产品逻辑很清楚:让 ALPR 从车辆记录工具,变成可查询的人员行动入口。真正该盯住的不是摄像头多拍了什么,而是设备标识会被保存多久、谁能查、错了怎么纠正。
密歇根新法案想拦住中国联网车,连跨境一日游也不放过
密歇根州两名民主党议员提出 Protecting America from Chinese Cars Act,拟禁止中国及其他对手国家关联的联网汽车进入美国,临时入境和跨境一日游也在范围内。真正的新变化,不是美国又限制中国车销售,而是把联网汽车监管推进到边境通行。国家安全理由有现实基础,但这项法案也带着密歇根汽车产业保护的强烈底色。
Flock 告警把车指向 5 英里外,人却被关了近一个月
圣迭戈男子 Hugo Parra 因一次 Flock 车牌识别告警被捕,但告警时间戳显示,相关车辆案发时在约 5 英里外。警方当时没有车牌号可核验,仍依据车型、车窗、衣着和肤色等表面特征推进重罪逮捕。真正危险的不是摄像头可能出错,而是执法者能选择性相信机器证据,把低信息办案包装成高科技效率。
苹果重做 Screen Time:家长控制不再只靠自己猜
苹果在 WWDC 2026 宣布重做 Screen Time,相关功能将进入 iOS 27、iPadOS 27 和 macOS 27。重点不是新增几个限制开关,而是给家长提供基于专家建议的默认起点。对使用苹果设备的家庭来说,最直接的变化是:孩子能联系谁、能看什么、App 能用多久,会更早进入系统层管理。
苹果把儿童 iPhone 管理做细:Screen Time 重设计,家长可管应用、网页和联系人
苹果在 WWDC 2026 发布重设计的 Screen Time 与家长控制功能,将随 iOS 27 于秋季上线。它不是禁止儿童使用社交媒体,而是把儿童账号、应用、网页、联系人和内容安全控制做成一套更系统的家庭治理工具。真正重要的是,苹果正在回应儿童用机与心理健康争议;不重要的是把它理解成一次普通功能翻新。
微软临时关闭 70 多个 GitHub 仓库,AI 编程代理的供应链风险被戳了一下
微软向 404 Media 确认,因调查潜在恶意内容,已临时移除部分 GitHub 仓库。OpenSourceMalware 称,GitHub 在 6 月 5 日 105 秒内禁用了 73 个微软仓库,范围涉及 Azure Functions 组织、Durable Task 相关仓库和部分 AI 示例应用。更准确的判断是:这不是 Azure 云服务整体被攻破,而是开源仓库接入 AI 编程代理后,安全边界变得更薄了。