1、三星修复一个针对安卓设备的零日漏洞

https://securityonline.info/samsung-zero-day-exploit-cve-2025-21043-patched-after-active-attacks-on-android-devices/

三星已发布安全更新，以修复一个正在被积极利用的、针对安卓设备的零日漏洞。该漏洞被标识为CVE-2025-21043，CVSS评分为8.8，它允许在处理恶意图片时实现远程代码执行。尽管三星没有明确证实哪些应用程序在实际攻击中被利用，但承认该漏洞的影响可能不仅仅局限于单一服务，这表明任何依赖libimagecodec.quram.so的即时通讯软件或应用程序都可能是一个潜在的攻击媒介。

2、新供应链攻击波及npm仓库，40余个软件包遭篡改

https://www.freebuf.com/news/448976.html

安全研究团队Socket发现npm仓库遭遇新型供应链攻击，波及多个维护者旗下的40余个软件包。研究人员首先在每周下载量达220万次的@ctrl/tinycolor软件包中检测到恶意更新，深入调查后揭露了这场规模更大的攻击活动。

3、GitHub为SSH访问增加抗量子加密保护

https://www.freebuf.com/articles/448857.html

GitHub宣布将为SSH连接引入抗量子密码学（post-quantum cryptography）保护，这一举措表明该公司正在为当前加密技术可能失效的未来做准备。平台已推出一种新型SSH密钥，该密钥同时包含传统算法和抗量子算法，被称为混合密钥（hybrid key），可在兼容现有系统的同时提供抵御未来量子攻击的能力。

4、Spring框架安全漏洞导致授权绕过与注解检测失效

https://www.freebuf.com/articles/448869.html

Spring Security和Spring框架中曝出两个高危漏洞（CVE-2025-41248和CVE-2025-41249），攻击者可利用这些漏洞绕过企业应用中的授权控制机制。当Spring Security的@EnableMethodSecurity特性与方法级注解（如@PreAuthorize和@PostAuthorize）结合使用时，若服务接口或抽象基类采用无界泛型，注解检测机制将无法定位重写方法上的安全注解，导致受保护端点可能被未授权访问。

5、中国用户遭SEO定向投毒攻击

https://thehackernews.com/2025/09/hiddengh0st-winos-and-kkrat-exploit-seo.html

中文用户遭SEO投毒攻击，仿冒软件网站传播HiddenGh0st、Winos等恶意软件，利用多阶段机制规避检测。新型kkRAT加入攻击，具备全面监控能力，通过BYOVD技术对抗安全软件，劫持加密货币交易。

6、漏洞预警：FlowiseAI 高危漏洞可导致完全账户接管

https://securityonline.info/poc-available-flowiseai-flaw-cve-2025-58434-allows-full-account-takeover-cvss-9-8/

FlowiseAI曝高危漏洞（CVE-2025-58434，CVSS 9.8），攻击者可利用密码重置端点直接获取临时令牌，无需认证即可接管任意账户（含管理员）。所有3.0.5前版本均受影响，建议禁用敏感信息返回并启用MFA。

7、新型HybridPetya勒索软件可绕过UEFI安全启动

https://www.anquanke.com/post/id/312163

近期发现的名为HybridPetya的勒索软件变种能够绕过UEFI安全启动功能，在EFI系统分区安装恶意应用程序。HybridPetya的设计灵感似乎源自具有破坏性的Petya/NotPetya恶意软件——后者曾在2016年和2017年的攻击中加密计算机并阻止Windows启动，且未提供恢复选项。

8、捷豹路虎因网络攻击停产超半月

https://www.secrss.com/articles/83164

9月1日首次曝光的一起网络攻击事件，迫使捷豹路虎关闭计算机系统，并导致全球范围内停产。位于索利哈尔、海尔伍德和伍尔弗汉普顿的工厂预计至少要到9月17日才能恢复运转，因为公司仍在评估损失情况。

9、《网络安全标准实践指南-扫码点餐个人信息保护要求》发布

https://www.secrss.com/articles/83154

规定了扫码点餐服务个人信息保护总体要求和具体要求。

10、ChatGPT的日历集成可被利用窃取电子邮件

https://www.securityweek.com/chatgpts-new-calendar-integration-can-be-abused-to-steal-emails/

一个新版的 ChatGPT 日历集成可能被滥用来执行攻击者的命令，AI 安全公司 EdisonWatch 的研究人员通过展示如何利用此方法窃取用户的电子邮件，证明了其潜在影响。

声明

以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。