全球网安事件速递

1. 历时数十年的漏洞与新堆损坏问题，Linux系统关键glibc漏洞曝光

GNU C库披露两个高危漏洞：CVE-2026-0861（8.4分）可导致堆损坏，影响glibc 2.30-2.42；CVE-2026-0915存在数十年，可能泄露堆栈信息。利用门槛较高，建议及时修补。【外刊-阅读原文】

2. 全球恶意广告劫持DNS漏洞，日均欺诈百万用户

Infoblox揭露利用"坐以待毙"漏洞的全球欺诈推送网络，通过劫持废弃域名收集5700万条日志，显示低效但广泛的欺诈广告运营，主要针对南亚用户。研究警示DNS管理漏洞助长黑产，呼吁加强域名清理责任。【外刊-阅读原文】

3. 黑客劫持伊朗国家电视台，播放反政权抗议信息

反政权黑客入侵伊朗Badr卫星系统，劫持国家电视台播放流亡王储巴列维的抗议呼吁，持续10分钟。视频号召民众示威并争取军方支持，同时展示国际声援。伊朗网络随后再次受限。【外刊-阅读原文】

4. Deno 曝出高危漏洞（CVE-2026-22863 和 CVE-2026-22864）可导致密钥泄露与任意代码执行

Deno曝两大高危漏洞：CVE-2026-22863加密模块缺陷可致密钥泄露（CVSS 9.2），CVE-2026-22864允许Windows平台任意代码执行。用户需立即升级至v2.6.0修复。【外刊-阅读原文】

5. 5款恶意Chrome扩展伪装成生产力工具劫持企业会话

研究发现5款伪装成Workday等企业工具的恶意Chrome扩展，窃取会话令牌并劫持账户，影响超2300用户。攻击组合包括Cookie窃取、会话劫持和阻断安全响应，能绕过MFA并隐藏恶意行为。建议企业立即排查相关扩展。【外刊-阅读原文】

6. 人工监督已遇瓶颈：AI监管AI的时代已经到来

AI自主决策时代，人工监督已无法匹配AI决策的速度与规模，沦为幻想。专家呼吁转向AI监管AI的自动化治理模式，人类角色转向战略制定与系统设计，确保可审计性与责任归属。技术领导者需构建匹配AI能力的监督体系。【外刊-阅读原文】

7. StealC 恶意软件控制面板安全漏洞使研究人员得以监控黑客活动

StealC恶意软件控制面板存在XSS漏洞，研究人员借此获取黑客组织关键信息，包括5,000条日志和3,000万cookie。该团伙虽专注窃取数据，却未保护自身系统，暴露位置和操作细节，凸显MaaS模式的安全风险。【外刊-阅读原文】

8. 黑客承认入侵美国最高法院、AmeriCorps及退伍军人事务部系统

24岁黑客尼古拉斯·摩尔承认25次入侵美国最高法院等政府系统，窃取并泄露敏感数据，面临最高1年监禁及10万美元罚款。攻击手法为使用窃取的凭证，案件将于4月17日宣判。【外刊-阅读原文】

9. PoC 漏洞利用代码公开：Windows 补丁失效导致内核信息泄露

漏洞报告仅限认证支持者查阅，需通过Google贡献或其他方式获取完整内容，涉及Windows补丁失败导致内核信息泄露。【外刊-阅读原文】

10. 谷歌上诉反垄断裁决 拒绝强制共享搜索数据以捍卫"数据护城河"

谷歌上诉垄断裁决，坚称用户自主选择其服务，反对强制数据共享，认为会损害隐私和创新。案件始于2020年，2024年裁定其垄断，现谷歌寻求暂缓执行补救措施。【外刊-阅读原文】

优质文章推荐

1. 初识免杀对抗

Webshell免杀入门指南：详解静态/动态绕过技术，涵盖主流杀软对抗、开源工具实操及流量检测规避，提供实战案例与资源，助力安全爱好者掌握免杀核心逻辑与防护思路。【阅读原文】

2. JAVA安全-Fastjson

Fastjson是阿里高性能JSON库，支持Java对象与JSON互转。其反序列化漏洞源于自动调用setter/getter方法，攻击者可构造恶意JSON利用@type指定类触发危险操作。1.2.25后引入黑白名单防御，但后续版本仍存在绕过风险，如1.2.47利用缓存机制绕过检测。典型利用链包括TemplatesImpl和JdbcRowSetImpl。【阅读原文】

3. 信任边界崩塌：详解Django ORM如何因内部控制参数暴露导致SQL注入（CVE-2025-64459）

Django ORM高危漏洞CVE-2025-64459允许攻击者通过_connector参数注入SQL，导致数据泄露和权限绕过。漏洞源于用户可控字典展开至filter()或Q()调用时未验证内部参数。官方已发布补丁，建议升级并改用白名单验证机制。【阅读原文】

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册原链接平台账号后方可阅读。