Aggregator

图片：俄罗斯莫斯科新英国大使馆2026年3月30日，俄罗斯联邦安全局（FSB）以“经济间谍”罪名，宣布驱逐英

大部分人一听到芯片、光刻机、海底电缆，第一反应还是"产业新闻"。谁家发布了新工艺，谁家多卖了几台设备，哪个公司股价涨了跌了。

阿波罗宇航员用于登月的计算机配备了 1-MHz 处理器和 4 kilobytes 可擦除内存，其功能有限，飞船重要的环境和电源控制仍然是通过手动或机电方式实现的。阿尔忒弥斯（Artemis）II 的 Orion 飞船则配备了至今容错能力最强的计算机系统。为了应对太空辐射，飞船配备了两台计算机 Vehicle Management Computers，每台包含两个飞控模块 Flight Control Modules，总共四个 FCM，每个 FCM 配备了一对自检验处理器。八个 CPU 并行运行飞行软件。自检验意味着一旦某个 CPU 因一次辐射事件而出错，系统会立即检测出错误并做出反应。此外系统还使用了三模块冗余内存，每次读取时都能自动纠正单比特错误。网络也采用三重冗余设计，所有网络交换机都采用自检策略。飞船还搭载了一个完全独立的 Backup Flight Software（BFS）系统，它使用不同的硬件，运行不同的操作系统，使用独立开发的简化版飞行软件。这种设计被称为异构冗余。

A vulnerability, which was classified as problematic, was found in Royal Elementor Addons Plugin up to 1.3.70 on WordPress. Affected by this vulnerability is an unknown functionality of the component MailChimp API Key Handler. Such manipulation leads to information disclosure. This vulnerability is listed as CVE-2023-3709. The attack may be performed from remote. There is no available exploit.

A vulnerability was found in Jupiter X Core Plugin up to 2.5.0 on WordPress. It has been classified as problematic. Affected by this issue is some unknown functionality. This manipulation causes information disclosure. This vulnerability appears as CVE-2023-3813. The attack may be initiated remotely. There is no available exploit.

A vulnerability was found in Video Conferencing with Zoom Plugin up to 4.2.1 on WordPress. It has been rated as problematic. The affected element is the function vczapi_encrypt_decrypt. This manipulation causes use of hard-coded cryptographic key . This vulnerability is tracked as CVE-2023-3947. The attack is possible to be carried out remotely. No exploit exists.

A vulnerability was found in ACF Photo Gallery Field Plugin up to 1.9 on WordPress. It has been declared as critical. The impacted element is an unknown function of the component Usermeta Update Handler. Executing a manipulation can lead to improper access controls. This vulnerability appears as CVE-2023-3957. The attack may be performed from remote. There is no available exploit.

A vulnerability was found in InstaWP Connect Plugin up to 0.0.9.18 on WordPress. It has been classified as critical. This issue affects the function events_receiver of the component Setting Handler. Performing a manipulation results in missing authorization. This vulnerability is cataloged as CVE-2023-3956. It is possible to initiate the attack remotely. There is no exploit available.

A vulnerability was found in Bus Ticket Booking with Seat Reservation Plugin up to 5.2.3 on WordPress. It has been classified as problematic. This affects an unknown part. The manipulation leads to cross site scripting. This vulnerability is traded as CVE-2023-4067. It is possible to initiate the attack remotely. There is no exploit available.

A vulnerability was found in WP Ultimate CSV Importer Plugin up to 7.9.8 on WordPress. It has been rated as critical. Affected by this issue is some unknown functionality. Performing a manipulation results in code injection. This vulnerability is identified as CVE-2023-4142. The attack can be initiated remotely. There is not any exploit available.

A vulnerability categorized as problematic has been discovered in WP Ultimate CSV Importer Plugin up to 7.9.8 on WordPress. This affects an unknown part. Executing a manipulation can lead to information disclosure. This vulnerability is tracked as CVE-2023-4139. The attack is only possible within the local network. No exploit exists.

A vulnerability identified as critical has been detected in WP Ultimate CSV Importer Plugin up to 7.9.8 on WordPress. This vulnerability affects unknown code of the component Usermeta Update Handler. The manipulation leads to improper access controls. This vulnerability is listed as CVE-2023-4140. The attack may be initiated remotely. There is no available exploit.

A vulnerability marked as critical has been reported in WP Ultimate CSV Importer up to 7.9.8 on WordPress. Affected by this vulnerability is an unknown functionality. The manipulation leads to code injection. This vulnerability is listed as CVE-2023-4141. The attack may be initiated remotely. There is no available exploit.

Думали, затестите новую Final Sentence в своё удовольствие? Как бы не так.

Google has made Device Bound Session Credentials (DBSC) generally available to all Windows users of its Chrome web browser, months after it began testing the security feature in open beta. The public availability is currently limited to Windows users on Chrome 146, with macOS expansion planned in an upcoming Chrome release. "This project represents a significant

最近返乡陪父母待了些天。之前说过，与父母在一起，三五天内，温情脉脉。时间再长，往往容易有些小冲突。

HackerNews 编译，转载请注明出处： 知名研究员Haifei Li发现一份疑似利用未修补Adobe Reader零日漏洞的PDF文件，正寻求网络安全社区协助调查这一复杂的PDF利用程序。 Haifei Li是资深安全研究员，过去二十年曾在Fortinet、微软、McAfee和Check Point任职，也是基于沙盒的零日漏洞检测系统Expmon的创始人兼开发者。 Expmon检测到这一新型Reader利用程序，分析显示该PDF“作为初始利用程序，具备收集和泄露各类信息的能力，可能随后执行远程代码执行（RCE）和沙箱逃逸（SBX）利用”。 研究员认为该PDF利用零日漏洞，因为攻击已确认对最新版Adobe Reader有效。 虽然Li确认已识别的利用程序会从受入侵系统收集用户及其他数据，但未能复现完整攻击链，获取可能用于沙箱逃逸或远程代码执行的额外载荷。 SecurityWeek已联系Adobe，但考虑到公司仅在4月7日左右收到利用详情，评估可能需要一定时间。 针对该潜在零日的利用程序已提交至Expmon和VirusTotal。VirusTotal上识别的一份样本于2025年11月提交，表明该漏洞至少已被利用4个月。 一位审查该利用程序的威胁情报分析师指出，恶意PDF包含俄语诱饵，并提及俄罗斯油气行业的时事。 Adobe近年来多次致谢Li报告Reader和Acrobat漏洞，包括关键代码执行缺陷。然而，对于2024年发现的Reader漏洞CVE-2024-41869，在Li报告发现明显试图武器化该漏洞的PDF后，Adobe未确认野外利用。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： RSAC研究人员发现一种高成功率绕过苹果Apple Intelligence AI安全协议的方法。 Apple Intelligence是深度集成于iOS、iPadOS和macOS的个人智能系统，结合生成式AI与个人上下文。它主要通过紧凑的端侧大语言模型在苹果芯片上直接处理任务，利用用户独特上下文（消息、照片和日程）为系统级写作工具和Siri等功能提供支持。对于更复杂的推理，它通过私有云计算将请求卸载至苹果专用云基础设施上的更大基础模型。 RSAC研究团队对Apple Intelligence进行了安全审查，试图绕过端侧大语言模型的输入输出过滤器（用于阻止恶意输入和防止不良输出）及内部防护栏以影响其行为。 为此，他们结合两种对抗技术。第一种是Neural Execs——一种已知的提示注入攻击，使用”乱码”输入欺骗AI执行攻击者定义的任意任务，这些输入作为通用触发器无需针对不同载荷重新制作。 第二种方法是Unicode操纵。研究人员通过将恶意输出文本反向书写并使用Unicode从右至左覆盖功能，成功绕过内容限制。”本质上，我们将恶意/冒犯性英文输出文本反向编码，使用Unicode技巧强制大语言模型正确渲染，”研究人员解释。 结合两种方法可使攻击者强制端侧Apple Intelligence大语言模型生成冒犯性内容，或更关键地，操纵与Apple Intelligence集成的第三方应用中的私有数据和功能，如健康数据或个人媒体。 该攻击经100个随机提示测试，成功率达76%。研究人员估计，10万至100万用户已安装可能易受此类攻击的应用。 “RSAC估计，截至2025年12月，消费者手中已有至少2亿台支持Apple Intelligence的设备，苹果应用商店已出现使用Apple Intelligence的应用——因此它已成为高价值目标，”研究人员指出。 苹果于2025年10月接到通知，据RSAC研究，防护措施已在近期iOS 26.4和macOS 26.4中推出。研究人员尚未发现恶意利用的证据。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧洲铁路旅行公司Eurail正在通知超过30万人，其个人信息在2025年12月的数据泄露事件中被盗。 该事件最初于1月披露，当时公司警告称可能持有Eurail通票的客户受到影响。黑客入侵这家荷兰公司的网络后，窃取了包含基本身份和联系信息的文件。 2月，一名黑客在明网网络犯罪网站上吹嘘从Eurail的AWS S3、Zendesk和GitLab实例窃取约1.3TB数据，包括源代码、支持工单和数据库备份。黑客声称窃取了数百万Eurail/Interrail客户的个人信息，与旅行公司的谈判已失败。 3月初，Eurail确认黑客一直在暗网出售被盗数据，并在其Telegram频道发布了样本数据集。公司还表示不存储银行或信用卡信息，也不存储护照视觉副本。 上周，Eurail向多个美国州检察长办公室提交泄露通知，披露攻击中姓名和护照号码被盗。公司告诉俄勒冈州检察长办公室，数据泄露仅影响308,777人，正在向可能受影响个人发送书面通知。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文