Meta的WhatsApp应用存在一个重大缺陷,可能导致针对特定用户的复杂攻击。该问题涉及不完整授权,允许无关用户触发目标设备上的内容处理。国际特赦组织的专家表示,攻击者可能利用此漏洞攻击记者和人权倡导者。与此同时,微软自2025年起将在Azure实施多因素身份验证(MFA),以增强安全性,但组织可申请延期。日产的设计子公司Creative Box Inc.遭遇Qilin勒索软件攻击,部分设计数据被泄露,强调了网络安全的重要性。巴尔的摩市因采购诈骗损失150万美元,尽管追回部分资金,但保险公司拒绝赔偿。最后,FreePBX软件出现关键漏洞,需用户及时更新,以防止远程代码执行和数据库操纵。
WhatsApp的缺陷使用户面临针对性攻击
Meta的WhatsApp应用中的一个重大缺陷“可能已被用于针对特定目标用户的复杂攻击。”这一令人不安的承认是在上周发布的安全建议中提出的,详细说明了CVE-2025-55177。Meta将此问题描述为允许“WhatsApp中链接设备同步消息的不完整授权可能允许无关用户触发目标设备上来自任意URL的内容处理。”潜在的滥用引发了对用户安全和隐私的严重担忧。
此外,Meta的安全团队提到了一个相关的零点击漏洞CVE-2025-43300,最近已由Apple修补。他们认为这两个漏洞“可能已被用于针对特定目标用户的复杂攻击。”国际特赦组织安全实验室负责人Donncha Ó Cearbhaill表示,攻击者可能以高度专业化的方式利用这些漏洞,这表明一个商业监控软件供应商可能对针对特定个人的攻击负责,包括记者和人权倡导者。
监控软件,最初是为了国家犯罪分子而设计,已成为政府针对他们不赞成的目标的工具。在这种背景下,此前提到的针对零点击WhatsApp缺陷的100万美元悬赏确实可能是合理的,因为它对脆弱用户所构成的风险水平。
微软在Azure上强制实施多因素身份验证
从2025年10月1日起,微软将在Azure系统上实施多因素身份验证(MFA)的要求,排除只读访问。来自雷德蒙德公司的建议指出,“MFA的强制实施将逐渐开始,只针对登录Azure CLI、Azure PowerShell、Azure移动应用、基础设施即代码工具和执行任何创建、更新或删除操作的REST API端点的帐户。读取操作不需要MFA。”此举旨在增强Azure服务的整体安全性。
然而,对于可能获得延期的特殊情况,有相应的规定。面临“复杂环境或技术障碍”的组织可以请求延迟到2026年7月1日。微软还建议使用Microsoft Entra ID的用户帐户作为服务帐户的客户,过渡到具有工作负载身份的安全云服务帐户。对Azure用户来说,实施MFA应该是标准做法,因为它已被证明在防止黑客攻击方面非常有效。
日产设计工作室遭到Qilin勒索软件攻击