每日安全简讯(20250812)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 WinRAR零日漏洞被利用传播RomCom勒索软件

安全公司ESET披露，流行压缩工具WinRAR存在零日漏洞CVE-2025-8088，被疑与俄罗斯有关的网络间谍组织利用，通过钓鱼邮件传播RomCom后门程序。该漏洞属于路径遍历缺陷，攻击者可借此将恶意文件写入系统启动文件夹，实现任意代码执行。RomCom具备窃取敏感数据和安装其他恶意程序的能力，对欧洲和北美用户威胁尤甚。ESET研究人员指出，该组织曾在2024年底利用浏览器漏洞发动攻击。目前，WinRAR已发布7.13版本修复此问题，但因不具备自动更新功能，用户需手动升级，否则仍面临风险。

https://hackread.com/winrar-zero-day-cve-2025-8088-spread-romcom-malware/

---

2 诈骗者冒充TechCrunch人员行骗企业

TechCrunch警告称，有诈骗者冒充其记者和活动负责人联系企业，假借媒体采访之名套取敏感商业信息。攻击者常使用与真实员工相似的邮箱地址，并模仿写作风格和行业话题，以提高可信度。在电话交流中，骗子进一步获取专有资料。此类行为不仅发生在TechCrunch，也影响其他媒体品牌，疑似为获取网络初始访问权限或重要信息。TechCrunch建议企业通过其官网员工名单核实身份，并在遇到可疑请求时直接联系官方确认，以防被骗。

https://techcrunch.com/2025/08/08/impersonators-are-targeting-companies-with-fake-techcrunch-outreach/

---

3 研究指Apple Intelligence或存隐私漏洞

以色列网络安全公司Lumia Security在2025年Black Hat大会上披露，苹果的人工智能生态系统Apple Intelligence在处理Siri请求时，可能超出其隐私政策范围收集与传输用户数据。研究显示，Siri会将已安装相关应用、位置信息、音频播放元数据等发送至苹果服务器，甚至包括通过WhatsApp语音输入的消息内容，此举或影响端到端加密的有效性。部分数据传输发生在苹果宣称具备增强隐私保护的Private Cloud Compute体系之外，且在用户关闭相关学习功能后仍持续进行。该发现引发对苹果隐私承诺与实际数据处理方式一致性的质疑。

https://cyberscoop.com/apple-intelligence-privacy-siri-whatsapp-lumia-security-black-hat-2025/

---

4 哥伦比亚大学数据泄露影响逾86万人

哥伦比亚大学遭遇网络攻击，导致868969名学生、申请人及员工的个人信息泄露。事件最初表现为IT系统故障，经调查发现系未经授权的访问所致，疑似与勒索软件攻击有关。泄露数据包括社保号、联系方式、人口统计信息、学术记录、助学金与保险信息及部分健康资料。目前未有证据显示6月24日后存在进一步入侵。校方已恢复系统运行，并为受影响者提供两年免费信用监控与身份保护服务，同时加强安全防护，并提醒社区警惕诈骗行为。

https://securityaffairs.com/180948/data-breach/columbia-university-data-breach-impacted-868969-people.html

---

5 1.5万台Jenkins服务器曝RCE高危漏洞

安全公司VulnCheck警告，Jenkins自动化服务器的Git Parameter插件存在高危命令注入漏洞CVE-2025-53652，最初评级为中危，但实测可被利用实现远程代码执行（RCE），从而完全控制服务器。约1.5万台互联网可访问的Jenkins服务器关闭了身份验证，暴露在风险中。漏洞源于插件未正确校验用户输入，允许攻击者注入恶意命令。尽管官方已发布补丁，但系统管理员可手动禁用修复，导致部分更新服务器依然易受攻击。该漏洞可能被用于有针对性的渗透或横向移动，VulnCheck已发布检测规则供企业防范。

https://hackread.com/jenkins-servers-risk-rce-vulnerability-cve-2025-53652/

---

6 法国Bouygues电信数据泄露影响640万用户

法国电信运营商Bouygues Telecom确认8月4日遭遇网络攻击，导致640万名用户的个人信息泄露。受影响数据包括联系方式、合同信息、身份或企业资料及IBAN账号，但不涉及银行卡号及账户密码。公司已通过邮件和短信通知用户，并迅速采取措施终止攻击、强化系统安全。Bouygues提醒用户警惕钓鱼邮件及诈骗来电，尤其是冒充银行或企业索取敏感信息的行为，并建议定期核对银行账单，及时阻止未经授权的扣款。

https://securityaffairs.com/180958/data-breach/french-firm-bouygues-telecom-suffered-a-data-breach-impacting-6-4m-customers.html

---