Apple iMessage Zero-Click漏洞允许攻击者通过发送恶意制作的iMessage消息远程入侵设备，无需用户交互。已被Graphite间谍软件利用针对记者发起攻击。

漏洞源于V8 TurboFan编译器在执行存储-存储消除优化时对动态索引加载的错误处理，导致别名关系误判，错误地消除了关键存储操作，进而导致内存访问越界。攻击者可以通过构造特制的HTML页面，诱导用户访问，触发恶意JavaScript代码执行，利用该漏洞实现远程代码执行和沙箱逃逸，最终完全控制受害者设备。

Aim Security 发现了“EchoLeak”漏洞，该漏洞利用了 RAG Copilot 典型的设计缺陷，允许攻击者在无需依赖特定用户行为的情况下，自动窃取 M365 Copilot 上下文中的任何数据。主要攻击链由三个不同的漏洞组成，但 Aim Labs 在研究过程中还发现了其他可能促成漏洞利用的漏洞。

数字化带来了巨大的经济和社会效益，但我们对数字技术的日益依赖也带来了重大风险。发展中国家的情况也是如此，在这些国家，数字化的步伐往往超过了建设网络复原力所需的必要投资和关注，从而可能导致削弱性后果。

《中华人民共和国个人信息保护法》（自2021年11月1日起施行）

第54条、第64条：提供个人信息保护合规审计基本法律框架，要求企业主动履行审计义务并配合监管。

《网络数据安全管理条例》（自2025年1月1日起施行）

第27条：进一步细化审计要求，网络数据处理者应当定期自行或委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计。

《个人信息保护合规审计管理办法》（2025年2月14日发布，自2025年5月1日起施行）

个人信息保护合规审计首个配套细则正式出台。

2024年全球DevSecOps现状调查报告》揭示了DevSecOps领域的关键趋势与挑战，基于对1,000多名全球开发、安全和运维人员的调研，主要数据亮点

82%的组织使用6-20种安全工具。
60%的测试结果含21%-60%的噪音。
仅24%的受访者对AI代码保护“极为自信”。
86%的组织认为安全测试拖慢开发速度。

针对 Windows 对象链接和嵌入 (OLE) 中的 Microsoft Outlook 零点击远程代码执行 (RCE) 漏洞，已发布一种新的概念验证 (PoC)，标识为 CVE-2025-21298。

流行文件归档软件7-Zip 中最近披露的一个漏洞（编号为 CVE-2025-0411）此漏洞允许远程攻击者绕过 Windows 的 Mark-of-the-Web (MOTW) 保护机制，从而可能在受影响的系统上执行任意代码。

本报告深入分析了美国联邦政府及其情报机构在全球范围内实施的网络间谍活动与虚假信息行动，揭示了其通过高级持续性威胁（APT）、供应链攻击和“假旗行动”等多种手段，针对中国、德国、日本及其他国家的网络基础设施和关键机构进行大规模监控和数据窃取的真实情况。报告指出，美国国家安全局（NSA）与中央情报局（CIA）协同合作，利用“五眼联盟”国家的技术优势，控制全球重要的海底光缆，建立全量监听站，对全球互联网用户进行无差别监视。

在虚假信息行动方面，美国情报机构通过“影响力行动”框架，实施“假旗行动”，通过制造和传播虚假信息，误导溯源归因，掩盖自身网络攻击行为，嫁祸他国。此外，报告详细介绍了“上游”（UpStream）项目和“棱镜”（Prism）项目，这些项目使NSA能够从美国主要互联网企业获取用户数据，进一步扩大其情报收集能力。

报告还披露了美国“特定入侵行动办公室”（TAO）在全球范围内发动的网络秘密入侵行动，植入间谍程序，渗透目标国家的关键网络系统。同时，报告揭示了美国在内部滥用《涉外情报监视法案》（FISA）第702条款，对包括美国公民在内的全球互联网用户进行非法监听和数据收集的现状。

在应对措施方面，报告呼吁加强国际合作，提升网络安全防护能力，完善信息监控与治理机制，制定和完善相关法律法规，以有效应对美国及其盟友的网络霸权行为。最终，报告强调网络安全的全球协作重要性，呼吁各国共同致力于建设一个安全、稳定、可信的互联网环境，防范和遏制网络间谍与虚假信息的威胁。

最新的补丁安全更新中，微软披露了 Windows TCP/IP 堆栈中一个需要紧急关注的严重漏洞（CVE-2024-38063）。Windows TCP/IP 堆栈中 IPv6 数据包的处理。未经身份验证的攻击者可以通过向目标系统发送特制的 IPv6 数据包来利用此漏洞，从而导致远程代码执行 (RCE)。