专题介绍 首席安全官-你的安全专家智库 如何成为首席安全官
-
Google chrome V8 JavaScript 引擎类型混淆远程代码执行漏洞
CVE-2025-6554 是一个存在于 Google Chrome V8 JavaScript 引擎中的类型混淆(Type Confusion)漏洞。类型混淆是一类常见的内存破坏漏洞,当程序错误地将一种数据类型解释为另一种类型时,可能导致不安全的内存操作,攻击者可在受害者的系统上执行任意代码。
-
2025年工业控制系统安全漏洞分析报告
2025年,工业控制系统安全面临前所未有的挑战,主要表现为技术创新与盗用的双向风险、新旧技术并存带来的双重隐患、供应链安全危机加剧,以及零日漏洞与隐匿策略失效
-
Apple iMessage Zero-Click(零点击)漏洞(CVE-2025-43200)
Apple iMessage Zero-Click漏洞允许攻击者通过发送恶意制作的iMessage消息远程入侵设备,无需用户交互。已被Graphite间谍软件利用针对记者发起攻击。
-
Google chrome V8 JavaScript引擎越界读写漏洞(CVE-2025-5419)
漏洞源于V8 TurboFan编译器在执行存储-存储消除优化时对动态索引加载的错误处理,导致别名关系误判,错误地消除了关键存储操作,进而导致内存访问越界。攻击者可以通过构造特制的HTML页面,诱导用户访问,触发恶意JavaScript代码执行,利用该漏洞实现远程代码执行和沙箱逃逸,最终完全控制受害者设备。
-
AI零点击漏洞:可窃取Microsoft 365 Copilot数据
Aim Security 发现了“EchoLeak”漏洞,该漏洞利用了 RAG Copilot 典型的设计缺陷,允许攻击者在无需依赖特定用户行为的情况下,自动窃取 M365 Copilot 上下文中的任何数据。主要攻击链由三个不同的漏洞组成,但 Aim Labs 在研究过程中还发现了其他可能促成漏洞利用的漏洞。
-
新兴市场的网络安全经济学
数字化带来了巨大的经济和社会效益,但我们对数字技术的日益依赖也带来了重大风险。发展中国家的情况也是如此,在这些国家,数字化的步伐往往超过了建设网络复原力所需的必要投资和关注,从而可能导致削弱性后果。
-
《个人信息保护合规审计管理办法》解读
《中华人民共和国个人信息保护法》(自2021年11月1日起施行)
第54条、第64条:提供个人信息保护合规审计基本法律框架,要求企业主动履行审计义务并配合监管。
《网络数据安全管理条例》(自2025年1月1日起施行)
第27条:进一步细化审计要求,网络数据处理者应当定期自行或委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计。
《个人信息保护合规审计管理办法》(2025年2月14日发布,自2025年5月1日起施行)
个人信息保护合规审计首个配套细则正式出台。
-
2024年全球 DevSecOps现状调查报告
2024年全球DevSecOps现状调查报告》揭示了DevSecOps领域的关键趋势与挑战,基于对1,000多名全球开发、安全和运维人员的调研,主要数据亮点
82%的组织使用6-20种安全工具。
60%的测试结果含21%-60%的噪音。
仅24%的受访者对AI代码保护“极为自信”。
86%的组织认为安全测试拖慢开发速度。 -
CVE-2025-21298:Microsoft Outlook 0-Click远程代码执行漏洞
针对 Windows 对象链接和嵌入 (OLE) 中的 Microsoft Outlook 零点击远程代码执行 (RCE) 漏洞,已发布一种新的概念验证 (PoC),标识为 CVE-2025-21298。
-
CVE-2025-0411:7-Zip 远程代码执行安全漏洞
流行文件归档软件7-Zip 中最近披露的一个漏洞(编号为 CVE-2025-0411)此漏洞允许远程攻击者绕过 Windows 的 Mark-of-the-Web (MOTW) 保护机制,从而可能在受影响的系统上执行任意代码。