原文链接: https://mp.weixin.qq.com/s?__biz=MzIwNzAwOTQxMg==&mid=2652252247&idx=1&sn=bf74fd5e8745a26a605f4c8df984203f

火绒安全：微信 Windows客户端3.9及以下版本存在远程代码执行漏洞

汇能云安全 2025-07-22 01:28

7月22日，星期二，您好！中科汇能与您分享信息安全快讯：

01

OpenAI即将发布GPT-5，引入新的训练方法和数据集

近日，关于OpenAI即将推出的GPT-5模型的消息引起了广泛关注。该模型在推理能力和生成文本的质量上有显著提升，可能会在多个应用场景中展现出更强的智能。

GPT-5的推理Alpha模型在处理复杂问题时表现出色，能够更好地理解上下文并生成更为连贯的回答。这一进步得益于OpenAI在深度学习和自然语言处理领域的持续创新。

GPT-5还引入了新的训练方法和更大规模的数据集，使其在理解和生成自然语言方面的能力得到了显著增强。

02

钓鱼攻击新手法，针对FIDO2多因素认证进行降级攻击

研究人员近日发现了一种名为“PoisonSeed”的钓鱼攻击新手法，主要针对FIDO2多因素认证进行降级攻击。攻击者通过伪造的登录页面诱使用户输入其凭证，从而绕过FIDO2的安全保护。

PoisonSeed攻击利用了用户对FIDO2的信任，攻击者通过发送伪造的电子邮件，诱导用户访问恶意网站并输入其FIDO2设备生成的验证码，攻击者则可以利用这些信息进行身份盗用。

03

火绒安全：微信 Windows客户端3.9及以下版本存在远程代码执行漏洞

近日，“火绒安全”公众号曝光并复现一个微信Windows客户端漏洞，该漏洞可使攻击者执行远程代码。微信Windows客户端3.9及以下版本均存在此问题。

据介绍，该漏洞具体技术原理为“微信客户端在处理聊天记录中的文件自动下载时，未对文件路径进行充分的校验和过滤”，可由“目录穿越”漏洞链与“远程代码执行”组合触发。

04

微软SharePoint服务器爆严重安全缺陷，官方补丁仍未发布

近期，网络安全专家发现微软SharePoint服务器中存在一个严重的零日漏洞，该漏洞允许攻击者在未授权的情况下执行任意代码。此漏洞目前尚无官方补丁可供修复，给企业和组织的安全带来了重大风险。

攻击者可以利用该漏洞通过特制的请求来获取对受影响系统的完全控制。这种攻击方式不仅影响了SharePoint服务器的正常运行，还可能导致敏感数据的泄露。

安全专家建议企业应采取紧急措施，包括限制对SharePoint服务器的访问、加强网络监控以及实施入侵检测系统。

05

新型恶意二维码攻击风险正快速上升

近期，网络安全领域出现了一种新型的二维码攻击，攻击者通过PDF文件传播恶意二维码，诱使用户扫描，从而窃取敏感信息。

这种攻击的关键在于PDF文件的构造。攻击者可以在PDF中嵌入看似无害的二维码，用户在扫描后可能会被重定向到恶意网站，或下载恶意软件。

攻击者通常会利用社交工程手段，伪装成合法机构或服务，增加用户的信任度。攻击者还可能通过电子邮件、社交媒体等渠道传播这些PDF文件，进一步扩大攻击范围。

06

攻击者利用热门开发工具包应用程序漏洞发起恶意攻击

近期，安全研究人员通过网络空间搜索引擎监测发现，威胁行为者正积极利用那些整合了存在漏洞的 Spring Boot 开发工具包发起网络攻击活动。

受影响的主要是使用了特定旧版本 Spring Boot DevTools 的 Java 应用。攻击者利用其中漏洞，可实现远程代码执行等恶意操作，严重威胁应用数据安全与系统稳定。

安全专家建议，开发者尽快检查应用所使用的 Spring Boot DevTools 版本。同时加强网络监测，及时发现并阻止异常扫描行为。

07

江西网警查处两起网站运营者不履行网络信息安全管理义务违法案件

今年，江西公安网安部门持续开展“护网-2025”专项工作，快速查处两起网站运营者不履行网络信息安全管理义务案，及时消除不良社会影响，切实维护网络空间秩序。

近日，宜春奉新网警在工作中发现，某公司“AI智能聊天机器人”未对生成内容进行审核，导致出现违法信息，严重危害网络秩序，极易造成社会负面影响。

发现该违法行为后，公安机关迅速对涉事网站负责人依法进行约谈，对其不履行网络信息安全管理义务的违法行为作出行政处罚，并责令相关网站限期整改。

08

蔚来汽车法务部回应“举报截图”，系利用AI技术虚假生成

7月19日，蔚来法务部发布声明，对近期网络恶意造谣事件作出回应：网传“乐道汽车员工参与黑公关”、“蔚来雇水军攻击友商”等内容，均为虚假信息，严重损害我司及员工声誉。
所谓“举报截图”显示的“虚拟货币交易细节”、“证据材料”等，经核实系利用AI技术生成的虚假文件，属蓄意造谣，包括“阿文鉴机”在内的部分账号，在未核实内容真实性的情况下，传播了上述谣言。面对上述恶意伪造攻击行为，蔚来汽车已经迅速报案并启动法律程序。

09

欧盟新人工智能法案 8 月生效，AI大模型面临合规考验

欧盟《人工智能法案》即将于 8 月 2 日起对生成式 AI 模型生效，该法案旨在规范 AI 技术，确保其安全、透明并尊重人权。

欧盟委员会发言人明确表示，针对生成式 AI 模型的法律截止日期不会变动，不存在 “暂停时钟”“宽限期” 或 “暂停” 的情况。
 AI 委员会正讨论给予签署方 “宽限期”，但这仅适用于自愿性的行为准则，AI 法案的相关规则仍于 8 月 2 日生效。

10

马斯克宣布将推出儿童版 AI 应用「Baby Grok」

7 月 20 日，马斯克在社交平台宣布，其人工智能公司 xAI 将开发一款专为儿童设计的应用“Baby Grok”，该应用将为儿童提供“友好型内容”。xAI目前并未披露Baby Grok的技术细节或发布时间。但儿童AI领域的监管要求极高，尤其在欧美市场。

《儿童在线隐私保护法案》等法规明确规定，产品需对13岁以下用户提供特别保护，包括数据采集限制、内容过滤与家长控制。
xAI 作为一新兴的AI智能公司，要想在这块市场站稳脚跟，不仅需要技术过硬，更需要极高的合规意识。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除