漏洞

苹果公司在 1 月 28 日推出了 macOS Sequoia 15.3、iOS 18.3、iPadOS 18.3、watchOS 11.3、visionOS 2.3、tvOS 18.3 操作系统更新，主要修复了一项编号为“CVE-2025-24085”的漏洞，这也是苹果公司今年修复的第一个零日漏洞。

安全研究人员发现了一种新型 UEFI 漏洞，该漏洞通过多款系统恢复工具传播，该漏洞使攻击者能够绕过安全启动（Secure Boot）机制，并部署对操作系统隐形的引导工具包（bootkit）。微软已将该漏洞正式标记为 CVE-2024-7344。

思科发布网络安全公告，声称旗下交换机所用网络设备操作系统 NX-OS 存在一项映像文件验证绕过漏洞（Software Image Verification Bypass Vulnerability）CVE-2024-20397，该漏洞主要出现在设备的 Bootloader 中。

IT之家 7 月 6 日消息，微星发布安全公告，敦促用户尽快将 MSI Center 应用升级到 2.0.38.0版本，以修复本地权限升级漏洞 CVE-2024-37726。IT之家注：MSI Center 是专为 MSI 电竞系列打造的专属应用程序，可为游戏玩家和其他用户提供优化的性能和效率。在

IT之家 6 月 23 日消息，苹果修复了一个影响 Vision Pro 的漏洞，该漏洞允许恶意网站在用户视野中凭空生成无限量的虚拟 3D 物体，这些物体可以是成群结队的蝙蝠，并且会在用户退出 Safari 浏览器后依然存在。该漏洞是由一位网络安全研究人员瑞恩・皮克伦 (Ryan Pickren)发

IT之家 6 月 20 日消息，安全研究专家几个月前在 Outlook 中发现了一个高危漏洞，报告数月后微软始终没有下文让其非常不满，随后在 X 平台发表抱怨，并向 TechCrunch 分享相关技术细节。SolidLab 安全研究员 Vsevolod Kokorin 发现了一个漏洞，他利用该漏洞可

IT之家 6 月 5 日消息，相信大家近年来经常会看到一些沉溺于网络游戏、短视频应用的问题，而青少年就更不用说，其学习生活甚至健康都已经开始受到手机等智能设备的消极影响。针对愈发严重的手机成瘾问题，苹果在iOS 12 中推出了“屏幕使用时间”功能，从而让用户决定如何使用自己的设备，同时还可以在自己的

IT之家 5 月 28 日消息，安全公司 Wiz 近日发布报告，宣称开源 AI 模型共享平台 Replicate 存在重大漏洞，黑客可通过恶意模型进行“跨租户攻击”（IT之家注：即利用存在于多租户环境中的安全漏洞访问 / 干扰其他租户的数据资源），从而导致平台用户训练的AI模型内部机密数据泄露。安全

IT之家 5 月 28 日消息，开发者 Bryce Bostwick 于 5 月 27 日发布博文，发现存在于 iOS 系统中的漏洞，让第三方应用程序调用官方的 API，从而让开发者创建可动画的应用图标。苹果 iOS 系统上目前只有时钟（Clock）和日历（Calendar）两款应用程序使用动画图标

IT之家 5 月 19 日消息，博通近日发布安全公告，宣布推出 VMware Workstation 17.5.2 和 Fusion 13.5.2 版本，主要修复了四项安全漏洞。在这些漏洞中，最严重的是被评为“重大”级别的 CVE-2024-22267，该漏洞的 CVSS 风险评分为 9.3，这是一

IT之家 5 月 16 日消息，英特尔昨天发布 41 份安全公告，修复了 90 个漏洞，涵盖旗下多款产品。本次曝光的漏洞主要存在于软件方面，其中一个存在于 Neural Compressor 的漏洞危险程度最高，在 CVSS 评分中得分为 10.0 “满分”，攻击者利用该漏洞可以提升权限并远程执行任

IT之家 5 月 16 日消息，谷歌公司本周三紧急发布 Chrome 浏览器安全更新，重点修复追踪编号为 CVE-2024-4947 的漏洞，这是过去 7 天时间里被发现的第 3 个被证明用于攻击的零日漏洞，也是今年第 7 个零日漏洞。谷歌公司已经向 Mac / Windows 平台发布了 125.

IT之家 5 月 11 日消息，谷歌 Chrome 和微软 Edge 两款浏览器近日发布紧急版本更新，修复了 CVE-2024-4671 安全漏洞，这是今年被证明已被黑客利用的第 5 个零日漏洞。该高危漏洞追踪编号为 CVE-2024-4671，存在于 Visuals 组件中，是一个“use aft

IT之家 5 月 4 日消息，安全公司 HiddenLayer 近日发现开源编程语言 R 存在一项允许黑客执行恶意代码的重大漏洞 CVE-2024-27322。该漏洞风险评级为 8.8 分，允许恶意文件在反序列化时执行任意代码。如果相关代码牵涉到软件包，则可能引发供应链攻击。IT之家注：序列化是将对

IT之家 5 月 3 日消息，微星公司今天发布了 AMD AM4 AGESA 1.2.0.Ca 固件更新，修复了针对 AMD Ryzen 4000 系列 Zen 2 APU 中的 Zenbleed 安全漏洞。微星本次发布的固件更新适用于几乎所有 X570 主板，主要修复了适用于 Zen 2 处理器中

IT之家 4 月 8 日消息，可破解安卓和 iPhone 的手机零日漏洞值多少钱？答案是数百万美元，这也催生了零日漏洞灰色产业链。和 Zerodium 公司类似，总部位于阿联酋的 Crowdfense 公司于 2019 年斥资 1000 万美元启动漏洞购买计划之后，近日再次宣布启动 Exploit

IT之家 4 月 3 日消息，索尼近日为 PlayStation Portal 串流掌机推送 2.06 版本更新，尽管索尼官方尚未提供更新说明，但用户反馈串流质量得到明显改善。IT之家查询相关玩家社群获悉，有玩家在尝试游玩《最终幻想 7 重制版》、《神秘海域》、《银河护卫队》等游戏后，表示画面质量

IT之家 3 月 30 日消息，Guardio Labs 安全研究员 Oleg Zaytsev 近日发布报告，披露了存在于微软 Edge 浏览器中的高危漏洞，可让攻击者悄然安装恶意扩展程序。微软于 2024 年 1 月 25 日发布的 Edge 121.0.2277.83 中已经修复了该漏洞。Zay

IT之家 3 月 27 日消息，谷歌威胁分析小组 (TAG) 和 Mandiant 联合发布的报告显示，2023 年被利用的零日漏洞数量达到 97 个，相比 2022 年的 62 个增长了超过 50%。图源 Pixabay零日漏洞是指软件开发商未知的安全缺陷，由于尚未发布补丁程序，防御软件也无法识别

IT之家 3 月 26 日消息，苹果公司于 3 月 22 日发布 iOS / iPadOS 17.4.1 更新，只是提及：“此更新提供了重要的错误修复和安全更新，建议所有用户安装”。苹果公司今天发布了安全更新日志，详细披露了 17.4.1 更新修复的安全问题。iOS / iPadOS 17.4.1

IT之家 3 月 9 日消息，安全机构Akamai日前公布了微软Win 10/11主题系统中一项名为CVE-2024-21320的漏洞，该漏洞CVSS评分为 6.5，允许黑客使用特制的.theme主题文件远程执行代码。据介绍，微软Windows资源管理器会默认预加载.theme主题的缩略文件，因此给

IT之家 3 月 7 日消息，VMware 发布安全更新，修复 VMware ESXi、Workstation、Fusion 和 Cloud Foundation 产品中的沙箱逃逸漏洞，攻击者可以逃逸虚拟机并访问主机操作系统。这类漏洞通常来说破坏力很大，攻击者一旦成功利用这些漏洞，可以在未经用户授权

IT之家2 月 11 日消息，三星近日为旗下固态硬盘管理软件魔术师 Magician 的 Windows 版更新 8.0.1 版本，解决一项高危漏洞问题。根据美国国家标准与技术研究院 NIST 相关网页的介绍，适用于 Windows 系统的三星 Magician 软件 8.0.0 版本中存在“命名管

IT之家 2 月 11 日消息，微软在上个月底悄悄发布了一个安全更新，针对其最古老的 Windows 10 版本 1507。该更新旨在修复一个可能导致本地权限提升 (LPE) 的漏洞，该漏洞可能因利用组策略漏洞而发生。该补丁通过更新 Windows Server 2016 的远程服务器管理工具 (R

IT之家 2 月 8 日消息，根据美国商标和专利局（USPTO）近日公示的清单，苹果获得了一项关于 iPhone 的技术专利，一旦成功商用，意味着用户无法再取巧或者“作弊”，完成健身闭环。苹果 iPhone 当前的“活动环”（Activity Ring）主要基于计步器、加速度计等手机传感器，用户可以

IT之家 2 月 1 日消息，苹果公司在美国市场发售 Vision Pro 头显之前，发布了 visionOS 1.0.2 更新，距离上个版本 1.0.1 版本相隔 1 周时间。苹果公司并未公布 visionOS 1.0.2 更新的内容，IT之家查询官方更新日志，仅提及修复了 WebKit 漏洞。根

IT之家 1 月 11 日消息，安全公司 Nozomi 本周二发布报告，称具备联网功能的扳手存在 23 个漏洞，在概念验证中可以安装勒索软件，导致扳手无法使用。报告中涉及的扳手为博世力士乐手持式螺母拧紧器 NXA015S-36V-B，广泛应用于汽车制造行业，在正常工作的情况下，该扳手可以让工人快速将

IT之家 12 月 29 日消息，利用生成式 AI 协助网络安全的话题近来相当热门，此前微软、谷歌等多家公司已经推出了一系列“专为网络安全优化的 AI 助手”，而英伟达公司信息安全部门负责人 David Reber Jr.近日发布长文，提到软件开发者及安全人员应“利用AI 寻找漏洞、预测攻击”。Da

IT之家 12 月 23 日消息，网络安全公司 Deep Instinct 本周四发布报告，报道称黑客利用 WinRAR 漏洞，分发 LONEPAGE 恶意脚本，针对在乌克兰境外公司工作的乌克兰员工发起攻击。报道称黑客组织 UAC-0099 利用包含 HTA、RAR 和 LNK 文件附件的网络钓鱼消

IT之家 12 月 20 日消息，安全公司 Qualys 今日发布一份“2023 年网络威胁安全回顾”报告，该公司声称，2023年全球共披露了 26447个计算机漏洞，为“历年之最”，相比去年的 25050 个漏洞，多了 5.2%。▲ 图源Qualys 分析报告（下同）IT之家从报告中获悉，在已披露

IT之家 12 月 18 日消息，研究机构 AI Forensics今年 8 月至 10 月对微软必应搜索引擎内置的 Copilot 功能进行调查，结果显示在部分场合中，Copilot 有 1/3 的几率输出错误答案，据此，该机构认为相关功能存在严重“幻觉”漏洞。▲ 图源AI Forensics 报

IT之家 12 月 12 日消息，小伙伴们可能还对 2 年前的 Log4j（Log4Shell）漏洞记忆犹新，该漏洞出自 Java 日志工具Apache Log4j，允许黑客远程执行代码，CVSS 风险评分达到满分，彼时许多开源框架乃至多家互联网公司都使用了相关日志工具，从而造成了一系列“官方紧急发

IT之家 12 月 8 日消息，SkySafe 软件工程师 Marc Newlin今日披露了一个蓝牙安全漏洞 CVE-2023-45866，该安全漏洞涉及苹果macOS及 iOS / iPadOS操作系统，允许黑客利用蓝牙键盘发动注入攻击。▲ 图源 相关 GitHub 页面Marc Newlin 声

IT之家 11 月 20 日消息，据外媒9to5Mac报道，一种流行且廉价的黑客设备Flipper Zero 今年 9 月首次出现，可通过制造蓝牙弹出窗口，向 iPhone 和 iPad 重复告诉发送垃圾内容，直到相关设备最终崩溃，不过直至今日，包含 iOS 17.2 测试版在内，苹果公司依然未修复

IT之家 11 月 17 日消息，据德媒 ComputerBase 报道，AMD 和奥地利格拉茨大学的研究人员披露了 AMD EPYC 处理器中一个名为 CacheWarp 或 CVE-2023-20592 的新漏洞，涉及到第一代到第三代的 EPYC 处理器。这个漏洞利用了 EPYC 处理器中独有

1 分钟不到、20 步以内“越狱”任意大模型，绕过安全限制！而且不必知道模型内部细节 ——只需要两个黑盒模型互动，就能让 AI 全自动攻陷 AI，说出危险内容。听说曾经红极一时的“奶奶漏洞”已经被修复了:那么现在搬出“侦探漏洞”、“冒险家漏洞”、“作家漏洞”，AI 又该如何应对？一波猛攻下来，GPT

IT之家 10 月 30 日消息，永恒之蓝（EternalBlue）漏洞相信小伙伴们并不陌生，这一漏洞在 2017 年 4 月被黑客组织 The Shadow Brokers 公布，并引发了 WannaCry 勒索软件大爆发。但卡巴斯基指出，研究人员估计至今全球依然有超过 100 万台电脑依然存在相

IT之家 10 月 28 日消息，根据卡巴斯基近日公布的安全报告，在过去 5 年时间里，监测一个名为 StripedFly 的复杂跨平台恶意软件平台，期间感染了超过 100 万台 Windows 和 Linux 设备。StripedFly 采用基于 TOR 的复杂流量隐藏机制，可以从可信平台处自动更

IT之家 10 月 21 日消息，根据 Fingerprint 发布的最新安全报告，包括谷歌 Chrome 浏览器在内，所有基于 Chromium 的浏览器都存在漏洞，可以泄露你经常访问的站点。这个问题主要出在站点参与度 (Site Engagement) 上，用户可以打开浏览器，在地址栏上输入 c

IT之家 10 月 20 日消息，思科 IOS XE 设备近日曝光 10 分满分漏洞，追踪编号为 CVE-2023-20198，目前没有可用补丁或者解决方案，官方唯一建议是禁用所有面向互联网的系统上的 HTTP 服务器功能。IT之家注：IOS XE 是思科为交换机、路由器等网络设备设计的系统，该系统

【新智元导读】「奶奶漏洞」竟然又有新活可整！用 PS 的奶奶的项链诱骗 Bing，竟直接绕过道德准则，直接识别验证码！「奶奶漏洞」重出江湖！还不太熟悉这个梗的朋友们，小编再给大家温故一下数月以前火爆网络的「奶奶漏洞」。简单来说，这是一个 prompt 技巧，有些事明说的话 ChatGPT 会义正言辞

IT之家 10 月 17 日消息，思科本周一发布安全公告，敦促网络管理员尽快展开自我排查，建议在面向互联网的系统上，禁用 HTTPS 服务器功能。IT之家注，这个漏洞追踪编号为 CVE-2023-20198，并在 CVSS 评分系统上被评为最高严重等级 10.0，这是少有的满分漏洞，而且现有证据表明

IT之家 10 月 6 日消息，软件提供商Sonatype日前发布了《2023 年软件供应链状况》报告，号称“深入探讨了如何在充满选择的世界中定义更好的软件，并探究了 AI 对软件开发的深远影响，还研究了开源供应、需求和安全之间错综复杂的相互作用，阐明了监管部门应对网络安全风险而采取的措施”等内容。

IT之家 10 月 6 日消息，名为 Looney Tunables 的漏洞近日曝光，追踪编号为 CVE-2023-4911，包括 Debian 12/13、Ubuntu 22.04/23.04 和 Fedora 37/38 在内的主流 Linux 发行版均受到影响。IT之家注：该漏洞存在于 GNU

IT之家 10 月 3 日消息，用户与 AI 的对话记录本来应当是私密的，但据 X 平台一名分析顾问发现，某些用户使用谷歌 Bard 的对话记录内容，出现在 Google 公开搜索结果中。据悉，谷歌今年 7 月扩大部署 Bard AI 工具时，加入了“分享对话链接”的功能。用户可以将他和 Bard

在音综的发展史上，有一颗常青树，每年都会如约而至，而且每年的收视率都不错。 这档音综就是大家非常熟悉的，持续了十年之久的《中国好声音》。 毫不夸张地说，《中国好声音》可以称之为音综界的鼻祖。 这么多年过来了，不管是综艺还是影视，相信大家都有这样的感受，那就是越来越不好看了。 尤其要说的是综艺，能做

中宏网山东9月23日电近日，记者从信用中国（山东）网站获悉，临沂市精神卫生中心（临沂市第四人民医院）违反了《中华人民共和国基本医疗与健康促进法》第四十三条第一款，其违法事实是麻醉药品和精神药品安全措施不健全存在漏洞。 临沂市卫生健康委员会依据《中华人民共和国基本医疗与健康促进法》第一百零一条，参照

利用网络游戏漏洞无偿获取游戏里的虚拟货币和道具，再将其卖给其他玩家，苏某自以为找到了一条“致富”之路，却没想到最终让自己受到刑事处罚。法官表示，游戏世界虽然不同于现实世界，但行为处事仍受法律制约。日前，苏某和两名同伙的行为已构成了非法获取计算机信息系统数据罪。 苏某在2019年玩一款仙侠类的手机游戏

格隆汇9月16日丨据MacRumors看到的一份备忘录，苹果(AAPL.US)称，“iOS 16有一个已知的问题，可能会影响到使用开放的Wi-Fi网络的设备激活”。为了解决这个问题，苹果表示，用户应该在初始化iOS时，在提示连接到Wi-Fi网络时选择“用iTunes连接到Mac或PC”，然后返回到之

9月16日，据美国科技博客MacRumors报道，苹果公司已经确认，iPhone新设备可能会遇到初始设置期间无法通过Wi-Fi网络进行激活的问题，称该问题“正在调查中”。为了解决这个问题，苹果表示，用户应该在初始化iOS时，在提示连接到Wi-Fi网络时选择“用iTunes连接到Mac或PC”，然后返

这款软件应用于illumina的很多测序产品，目前尚待寻找永久修复方案文/ 辛颖 王小编/ 王小全球测序行业巨头因美纳（illumina）出现纰漏。2022年6月13日，美国食品和药物监督管理局（FDA）官网发布的医疗器械召回通知显示，召回illumina（ILMN）旗下NextSeq 550Dx

本文转自：陕西日报 本报记者 杨静 医疗机构一旦发生院内感染，后果不堪设想。那么，医疗机构因为院感防控出现漏洞导致新冠疫情传播，要承担什么法律责任？本报记者采访了西北政法大学医药卫生法律与政策研究中心主任邱昭继。 邱昭继讲述了2020年10月发生在山东青岛的一起出现12例新冠病毒感染者与青岛市胸科医