网络安全专家AISLE近期在全球主流网页浏览器底层代码中发现一个严重安全漏洞,可能导致超过40亿台设备面临数据泄露风险。该漏洞被评定为中等危害程度(4.3分),影响所有基于Chromium代码库的主流浏览器,包括Google Chrome、Microsoft Edge、Brave和Opera。
WebXR内存泄露漏洞
问题出在WebXR技术中,该技术允许网站在浏览器中直接运行虚拟现实(VR)和增强现实(AR)体验。AISLE的自动化分析系统于2025年10月发现该漏洞,确认其已在代码中潜伏七个月。
技术故障表现为:代码在处理3D转换时未能正确处理微小数据片段,导致浏览器在后台意外读取相邻内存中的64字节额外数据。博客作者Stanislav Fort解释称,泄露的数值"暴露了邻近堆内存,包括指针数据",攻击者可利用这些数据绕过安全措施。但攻击者需要用户与特定恶意页面交互(如点击启动VR会话)才能触发数据泄露。
Google的快速响应
鉴于Chromium内核浏览器占据全球70%以上市场份额(仅Google Chrome就有超过30亿设备使用),几乎所有Windows笔记本、Android手机等设备均受影响。Google在AISLE于2025年10月15日负责任披露后"24小时内推出修复方案",并于同年10月28日更新Chrome稳定版。
用户应对措施
编号CVE-2025-12443的漏洞虽已修复,但用户必须立即更新浏览器以保护敏感信息,包括:
- Chrome(升级至142.0.7444.59或更高版本)
- Microsoft Edge、Brave、Opera等所有基于Chromium的浏览器
该漏洞提醒我们,VR/AR等新技术会带来复杂的安全隐患。最简单的防护措施是:立即检查浏览器设置并确保开启自动更新功能。
SpyCloud报告:2025年钓鱼攻击激增400%
身份威胁防护领域领导者SpyCloud最新数据显示,针对企业用户的钓鱼攻击呈现爆发式增长。2025年成功窃取身份的钓鱼攻击同比增长400%,在2800多万条被截获的钓鱼记录中,近40%包含企业邮箱地址(恶意软件数据中该比例仅为11.5%)。这表明企业员工遭遇钓鱼攻击的可能性是信息窃取型恶意软件的三倍。
钓鱼攻击成为主要入侵途径
这些发现印证了网络犯罪策略的重大转变:钓鱼攻击已成为入侵企业环境的首选入口。SpyCloud《2025年身份威胁报告》指出,35%的勒索软件感染通过钓鱼攻击实现,使其成为勒索软件最主要的传播渠道。
"钓鱼攻击已成为犯罪分子入侵企业最具扩展性的工具,"SpyCloud安全研究主管Trevor Hilligoss表示,"网络犯罪即服务模式(如钓鱼即服务工具包)将中间人攻击等高级战术低门槛化,使攻击者能大规模危害用户。SpyCloud的监测能力可帮助组织及时发现目标用户和泄露数据,在被武器化前修复凭证。"
传统防御措施的局限性
SpyCloud首席产品官Damon Fleury指出:"虽然企业普遍采用邮件过滤、终端防护和员工教育等传统防御手段,但攻击者仍能突破防线。关键在于要及时发现已在暗网流通的泄露身份数据,预防固然重要,但缺乏实时监测和泄露后修复仍不足以保证安全。"
恶意软件威胁持续存在
尽管钓鱼攻击占据主导,恶意软件仍是重要威胁载体。在远程办公和自带设备(BYOD)政策普及下,个人设备感染正成为入侵企业环境的跳板。2025年日经数据泄露事件就是典型案例——个人设备上的恶意软件最终导致企业敏感数据泄露。
SpyCloud数据显示,虽然仅11.5%的恶意软件感染直接窃取企业邮箱,但近半数企业用户在其数字历史中曾遭遇信息窃取型恶意软件攻击(无论设备是否受管理)。这表明攻击者正从个人账户向企业账户横向移动。
"保护企业安全需要超越企业账户范畴,"Fleury补充道,"由于密码重复使用和工作/个人账户共享手机号等身份数据,用户个人数字历史与职业访问权限的界限已不复存在。因此必须全面监控和修复个人及职业数字身份的所有暴露风险。"
扫一扫
44
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
