主要观点总结
本文提供了关于网络安全领域的安全资讯,包括数据泄露、漏洞情报、政策法规等方面的信息。主要涵盖了Elastic Kibana原型污染漏洞、新增在野利用漏洞、安全事件以及政策法规等多个方面。
关键观点总结
关键观点1: Elastic Kibana原型污染漏洞
奇安信CERT监测到官方修复了Elastic Kibana原型污染致任意代码执行漏洞(CVE-2025-25014),该漏洞源于Kibana中机器学习和报告端点的原型污染问题。攻击者可利用该漏洞在受影响的系统上执行任意代码,可能导致数据泄露、系统被完全控制等严重后果。
关键观点2: 新增在野利用漏洞
谷歌发布了针对大量Android安全漏洞的修复程序,包括一个被积极利用的零点击FreeType 2代码执行漏洞(CVE-2025-27363)。该漏洞是由于使用格式错误的字体文件来利用内存处理导致的。当库的易受攻击版本尝试解析与TrueType GX和可变字体文件相关的字体子字形结构时,会触发安全问题。
关键观点3: 安全事件
报道了多个安全事件,包括巴基斯坦军方声称网络攻击已使印度70%电网瘫痪,印度否认;多家企业遭伪造VS Code扩展攻击数据泄露;美国医疗设备上市公司遭网络攻击,生产制造受影响交付被迫延后等。
关键观点4: 政策法规
报道了多起政策法规相关的事件,包括国务院常务会议审议通过《政务数据共享条例(草案)》;中国人民银行发布《中国人民银行业务领域数据安全管理办法》;自然资源部印发《地理信息数据分类分级工作指南(试行)》等。
正文
1.
FreeType 越界写入漏洞(CVE-2025-27363)
5月7日,谷歌发布了针对大量 Android 安全漏洞的修复程序,包括一个被积极利用的零点击 FreeType 2 代码执行漏洞。该漏洞“可能受到有限的、有针对性的利用”。
CVE-2025-27363 是 FreeType 中的一个越界写入漏洞,FreeType 是一个开源软件库,可将字体(即文本)渲染到数字显示器(例如屏幕)上,并可在包括 Android、iOS、macOS 和 Linux 在内的许多平台上使用。
多年来,FreeType 一直是多个安全漏洞的源头,主要是由于使用格式错误的字体文件来利用内存处理。CVE-2025-27363 影响 FreeType 版本 0.0.0 至 2.13.0,并于2025年3月被 Facebook 标记为可能在野利用。
当库的易受攻击版本尝试解析与 TrueType GX 和可变字体文件相关的字体子字形结构时,就会触发安全问题。该公司解释道:该漏洞代码将一个有符号短整型值赋值给一个无符号长整型值,然后添加一个静态值,导致其回绕并分配过小的堆缓冲区。之后,该代码会将最多 6 个有符号长整型值写入缓冲区边界之外。这可能导致任意代码执行。
Facebook 和 Google 均未透露有关此次攻击的更多细节。Google 仅表示,该漏洞可导致本地代码执行,无需额外执行权限或任何用户交互(即可被利用进行“零点击”攻击)。正如 Malwarebytes 的 Pieter Arntz 所指出的,“可以合理地假设,仅仅打开包含恶意字体的文档或应用程序就可能危及您的设备。”
Google 会定期通过 Google Play 系统更新渠道为这些设备提供关键修复,但不能保证为旧设备提供针对被主动利用的漏洞的具体修复。建议使用 Android 13 以上版本的用户考虑使用包含针对不受支持设备的安全修复程序的第三方 Android 发行版,或者迁移到其 OEM 支持的较新型号。要应用最新的 Android 更新,请转至“设置”>“安全和隐私”>“系统和更新”>“安全更新”> 单击“检查更新”。(此过程可能因 OEM/型号而异)。
参考链接:
https://www.bleepingcomputer.com/news/security/google-fixes-actively-exploited-freetype-flaw-on-android/
1.
巴基斯坦军方声称网络攻击已使印度70%电网瘫痪,印度否认
5月10日综合消息,印度与巴基斯坦冲突现已蔓延至数字领域,两国关键目标面临日益严峻的网络威胁,同时社交媒体上关于冲突情况的虚假消息也日益增多。巴基斯坦媒体报道称,巴基斯坦对印度发动该地区历史上规模最大、最复杂的网络攻击,摧毁了印度数字基础设施的关键目标,涉及能源、电力、铁路、天然气等多个行业的众多目标。巴基斯坦安全部门消息人士当日称,巴基斯坦通过网络攻击导致印度70%的电网瘫痪。印度新闻信息局则驳斥称此消息纯属谣言,并敦促公众保持警惕,避免被此类散布恐慌的帖子所蒙蔽。巴基斯坦黑客组织近日以“萨拉尔行动”为名对印度开展网络攻击,入侵了4个印度网站,下载了数据并篡改网站主页。同时,巴基斯坦多个官方网站和社交媒体账户也疑似遭受网络攻击。
原文链接:
https://www.secrss.com/articles/78593
2.
多家企业遭伪造VS Code扩展攻击数据泄露,工信部漏洞平台发布预警
