26-06-04 09:37 微博认证:北京芯盾时代科技有限公司是零信任业务安全产品方案提供商

#芯盾时代每日安全资讯# 20260604

1、特朗普签署网络安全专项行政令

特朗普签署行政令加强网络防御,推动AI安全合作框架,平衡创新与国家安全。要求加速部署AI网络安全技术,建立漏洞共享计划,强化联邦和关键基础设施防护,设立AI网络安全信息中心,但不设强制性许可。同时加大打击AI网络犯罪力度。

2、安卓0Day漏洞遭利用 攻击者可完全控制设备

高危安卓0Day漏洞CVE-2025-48595正被利用,无需用户交互即可完全控制设备,影响安卓14-16版本。谷歌已发布补丁,建议立即更新系统,并启用Play Protect防护。第三方应用安装渠道风险较高,及时修补是防范关键。

3、Python恶意软件SolyxImmortal窃取浏览器密码、Cookie、文件及键盘记录

新型Python恶意软件SolyxImmortal窃取Windows系统数据,针对土耳其用户,利用Discord外泄信息,伪装系统文件隐蔽运行,窃取密码、文件及键盘记录,建议部署端点检测工具防范。

4、一键点击即可窃取 GitHub OAuth 令牌的漏洞曝光

VSCode的webview存在严重漏洞,攻击者通过恶意链接可窃取GitHub OAuth令牌,访问用户所有私有代码库。漏洞利用键盘事件转发机制绕过安全边界,无需交互即可完成攻击。建议清除浏览器数据、避免点击未知链接,等待官方补丁。

5、利用 VSCode Webview 窃取 GitHub Token 的安全漏洞曝光

安全研究员发现GitHub网页编辑器漏洞,攻击者可一键窃取高权限Token,威胁私有代码库安全。漏洞利用VSCode通信机制缺陷,伪造键盘命令绕过验证。开发者需清理浏览器数据并监控凭证以防范风险。

发布于 北京