Posts

2025年5月12日，Dior确认其中国区客户数据库遭遇未授权访问，泄露信息包括客户身份数据、消费行为画像、扩展个人信息及关联隐私字段。事件暴露了品牌在访问控制、行为监测和加密防护方面的系统性漏洞。这是2024年以来第三起重大奢侈品牌数据泄露事件，凸显行业数据安全危机。Dior已采取冻结第三方访问权限、委托审计及提供信用监测等应急措施。专家建议建立敏感数据分级分类机制，启用双因素认证和零信任架构。

华硕路由器内置的 AiCloud 功能曝出严重身份验证绕过漏洞（CVE-2025-2492），CVSS 评分高达 9.2。该漏洞允许远程攻击者无需认证即可完全操控设备，窃取敏感数据、篡改设备配置或作为内网渗透跳板。受影响的固件版本包括 3.0.0.4_382、3.0.0.4_386、3.0.0.4_388 和 3.0.0.6_102 系列，全球潜在受害设备或达数百万台。华硕已发布修复指南，建议用户立即升级固件、强化认证，并禁用高风险功能以降低威胁。

苹果公司将在iOS 18.5正式版中修复多个高危漏洞，包括iPhone 16e首款自研C1 5G基带芯片的漏洞（CVE-2025-31214），该漏洞可能导致中间人攻击。北京邮电大学的秦若涵、崔志伟和崔宝江三位研究员因发现该漏洞获得苹果公开致谢。此次更新还修复了图像处理器、蓝牙协议栈和WebKit引擎的其他漏洞，提升了设备在端到端加密和数据完整性验证方面的防护能力。苹果强调开放安全生态的重要性，并建议用户及时更新系统。

Google于2025年5月紧急修复了Chrome浏览器中的高危漏洞CVE-2025-4664，该漏洞允许攻击者绕过多因素认证（MFA）实施账户接管。漏洞影响Chrome 136.0.7103.113版本前的所有发行版，涉及Windows、macOS和Linux平台。攻击者通过恶意网站可强制浏览器泄露敏感数据，如OAuth令牌，特别适用于攻击基于OAuth的认证流程。Google已发布安全更新版本，建议用户立即更新，企业管理员应强制执行更新并审计登录日志。

安全研究人员发现微软BitLocker加密系统存在严重漏洞"CVE-2023-21563"（Bitpixie），攻击者可在无需物理接触或专用硬件的情况下，仅用5分钟绕过加密防护。该漏洞通过从内存中提取BitLocker卷主密钥（VMK）实现，提供了Linux和WinPE两种纯软件攻击路径。成功攻击的关键条件是目标设备未启用预启动认证机制。安全专家建议强制启用预启动认证、限制网络启动权限、配置审计和采用纵深防御策略。这一漏洞暴露了BitLocker默认配置的安全缺陷，促使企业重新评估磁盘加密技术的依赖策略。

Tor项目近日发布革命性工具Oniux，通过Linux内核级隔离技术，首次为任意Linux应用程序提供网络流量强制匿名化能力。Oniux采用多命名空间联合隔离、全流量Tor通道强制路由和防DNS泄露加固体系三大核心创新，显著提升匿名防护层级。与传统方案Torsocks相比，Oniux在内核系统调用拦截、全兼容二进制类型和物理层流量强制接管等方面实现技术代差跨越。尽管当前版本仍处实验阶段，Oniux为操作系统级隐私保护的标准化进程铺平道路，未来将重点开发硬件级隔离扩展、抗量子计算协议和动态流量塑形等特性。