ByteWatcher

2026-05-16 每日科技热点

5分钟阅读

2026-05-16 每日科技热点

安全漏洞

1. Microsoft Exchange Server 零日漏洞 CVE-2026-42897 遭在野利用

  • 来源: SecurityWeek
  • 日期: 2026-05-15
  • 微软披露 Exchange Server 高危零日漏洞 CVE-2026-42897(CVSS 8.1),XSS 欺骗漏洞影响 Exchange Server 2016、2019 及订阅版的 OWA 组件。攻击者可通过发送特制邮件在 OWA 中执行任意 JavaScript。→ Cybersecurity

2. Cisco SD-WAN 控制器认证绕过漏洞 CVE-2026-20182(CVSS 10.0)

  • 来源: The Hacker News
  • 日期: 2026-05-14
  • Cisco 修复 Catalyst SD-WAN Controller 满分认证绕过漏洞,攻击者可获取管理员权限。这是 Cisco 2026 年修复的第六个被利用的 SD-WAN 零日漏洞,威胁行为者标识为 UAT-8616。→ Cybersecurity / cisco-sdwan-vuln-2026

3. Linux 内核漏洞 Fragnesia(CVE-2026-46300)可提权至 root

  • 来源: SecurityWeek
  • 日期: 2026-05-14
  • 新发现的 Linux 内核漏洞 Fragnesia 位于 XFRM ESP-in-TCP 子系统,本地攻击者可利用内存写原语覆盖系统文件获取 root 权限。概念验证已公开但尚无在野利用证据。→ Linux / Cybersecurity

4. Chrome 148 修复多个高危漏洞

  • 来源: SecurityWeek
  • 日期: 2026-05-15
  • Chrome 148 更新修复了多个严重级别的 use-after-free 等类型漏洞。

5. VMware Fusion 高危漏洞补丁发布

  • 来源: SecurityWeek
  • 日期: 2026-05-14
  • Broadcom 在 Pwn2Own Berlin 黑客大赛期间为 VMware Fusion 发布高危漏洞补丁。

6. F5 修复超过 50 个漏洞

  • 来源: SecurityWeek
  • 日期: 2026-05-14
  • F5 发布季度安全公告,修复 BIG-IP、BIG-IQ 和 NGINX 中超过 50 个漏洞。

7. PraisonAI 漏洞在披露后数小时内即遭利用

  • 来源: SecurityWeek
  • 日期: 2026-05-14
  • AI 工具 PraisonAI 的认证绕过漏洞在公开披露后不到 4 小时就遭到利用。→ Cybersecurity

供应链攻击

8. TanStack 供应链攻击波及 OpenAI 两名员工设备

  • 来源: The Hacker News
  • 日期: 2026-05-15
  • OpenAI 披露两名员工设备受 TanStack “Mini Shai-Hulud” 供应链攻击影响,部分内部源代码仓库凭证材料被窃取,用户数据和生产系统未受影响。→ Cybersecurity

9. TeamPCP 公开 Shai-Hulud 蠕虫源代码

  • 来源: SecurityWeek
  • 日期: 2026-05-15
  • 黑客组织 TeamPCP 公开了 Shai-Hulud 供应链蠕虫源代码,鼓励他人使用并承诺金钱奖励。→ Cybersecurity

10. node-ipc npm 包被植入窃密后门

  • 来源: The Hacker News
  • 日期: 2026-05-14
  • npm 包 node-ipc 的三个版本(9.1.6、9.2.3、12.0.1)包含混淆的窃密/后门行为,涉及 90 类开发者和云密钥。→ Cybersecurity

APT 活动

11. 俄罗斯 Turla APT 将 Kazuar 后门升级为 P2P 僵尸网络

  • 来源: The Hacker News
  • 日期: 2026-05-15
  • 与俄罗斯 FSB 关联的 Turla(Secret Blizzard)将 Kazuar 后门升级为模块化 P2P 僵尸网络,主要攻击欧洲和中亚政府、外交和国防部门。→ Cybersecurity

12. 中国 APT 组织扩展攻击目标并更新后门

  • 来源: SecurityWeek
  • 日期: 2026-05-14
  • Salt Typhoon 攻击阿塞拜疆能源实体,Twill Typhoon 使用更新的 RAT 针对亚洲实体。→ Cybersecurity

行业动态

13. Akamai 以 2.05 亿美元收购浏览器安全公司 LayerX

  • 来源: SecurityWeek
  • 日期: 2026-05-14
  • Akamai 以约 2.05 亿美元全现金收购 AI 和浏览器安全公司 LayerX,扩展 Zero Trust 产品组合。→ akamai / Cloud

14. G7 国家联合发布 AI SBOM 指南

  • 来源: SecurityWeek
  • 日期: 2026-05-14
  • 美、加、日、德、法、意、英及欧盟联合发布《AI 软件物料清单 — 最低要素》指南。→ ai-sbom

15. Google I/O 2026 下周开幕:Gemini 更新成焦点

  • 来源: Google Developers Blog
  • 日期: 2026-05-15
  • Google I/O 2026 将于 5 月 19-20 日举行,预计将公布 Gemini 模型重大更新、Android XR 创新、Aluminum OS 等内容。

16. 2026 年 5 月 AI 模型动态:轻量化与长上下文成趋势

  • 来源: AI Flash Report
  • 日期: 2026-05-15
  • 大厂推轻量化模型(GPT-5.5 Instant、Gemini 3.1 Flash Lite),长上下文和非 Transformer 架构兴起,中国开源编码模型密集发布。

反向链接