چهارشنبه / ۱۶ مهر / ۱۴۰۴ Wednesday / 8 October / 2025
×
بهره‌برداری از آسیب‌پذیری CUPS با ابزار Cupshax
بهره‌برداری از آسیب‌پذیری CUPS با ابزار Cupshax

بهره‌برداری از آسیب‌پذیری CUPS با ابزار Cupshax

مرور هفتگی امنیت: چالش‌های جدید مرورگر، بدافزارها و حملات مخفی

هفته‌ای پر سر و صدا: روز‑صفر کروم، داده‌پاک‌کن‌ها و حملات بدون کلیک به آیفون

گوگل یک نقص اجرای کد از راه دور در V8 کروم را رفع کرده است، در حالی که بدافزار پاک‌کن PathWiper اوکراین را هدف قرار داده است. همچنین، کدهای بدون کلیک جدید آیفون و سوء‌استفاده از ابزارهای مورد اعتماد نیز روی کار آمده‌اند
هفته‌ای پر سر و صدا: روز‑صفر کروم، داده‌پاک‌کن‌ها و حملات بدون کلیک به آیفون

این هفته گوگل آسیب‌پذیری V8 کروم را وصله کرد، PathWiper داده‌پاک‌کن اوکراینی فعال شد، و حملات پیچیده‌ای مانند Zero‑Click آیفون و فیشینگ صوتی (vishing) با سوء‌استفاده از ابزارهای معتبر برقرار شد. همچنین، مهاجمان WordPress با افزونه‌های جعلی به سراغ مدیران سایت‌ها رفتند .

موتور جاوااسکریپت و WebAssembly در مرورگر کروم دستخوش نقص بحرانی‌ای شد که امکان خواندن و نوشتن خارج از محدوده را فراهم می‌کرد. گوگل نسخه‌های ۱۳۷.۰.۷۱۵۱.۶۸/.۶۹ را برای ویندوز، macOS و لینوکس منتشر کرد تا آسیب‌پذیری CVE-2025-5419 را پوشش دهد.

در اوکراین، بدافزار جدید PathWiper شبیه نمونه‌ اولیه HermeticWiper شناسایی شده است که از طریق چارچوب مدیریتی در زیرساخت هدف نصب شده و داده‌ها را پاک می‌کند.

گروه هکری BladedFeline در عراق با بدافزارهای Whisper و Spearal و گروه UNC6040 با فیشینگ صوتی و نصب نسخه جعلی Salesforce Data Loader، حملات هدفمند علیه کارکنان دولتی و سازمانی را اجرا کرده‌اند.

حملات بدون کلیک (Zero‑Click) بر آیفون‌ها، مرتبط با آسیب‌پذیری در iMessage (فرآیند imagent) بوده‌اند. این حملات ماه مارس ۲۰۲۵ مشاهده شده و اپل پچ آن را در iOS 18.3.1 عرضه کرده است .

سوءاستفاده از افزونه وردپرس جعلی «wp-runtime-cache» جهت سرقت رمز عبور مدیر، حملات Airdrop جعلی NFT برای سرقت ارز دیجیتال، و آموزش استفاده از ASR مایکروسافت برای کاهش سطح حمله بخش‌هایی دیگر از بررسی این هفته هستند

The Hacker News

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *