一加Ace2 Pro真機揭曉 鈦空灰配色質(zhì)感拉滿
終于,在經(jīng)過了幾波預(yù)熱之后,一加Ace2 Pro的外觀真機圖在網(wǎng)上出現(xiàn)了。還是博主數(shù)碼閑聊站曝光的,這次的外觀設(shè)計還是延續(xù)了一加11的方案,只是細節(jié)上有了調(diào)整,例如新加入了鈦空灰
近日,安全領(lǐng)域傳來新動態(tài),知名安全公司Aim Labs在官方渠道發(fā)布了一篇深度報告,揭示了一個針對Microsoft 365 Copilot聊天機器人的重大安全漏洞,該漏洞被命名為“EchoLeak”。據(jù)悉,該漏洞能夠繞過用戶交互,使黑客有機會竊取敏感信息,不過微軟方面已經(jīng)迅速采取行動,完成了漏洞的修復(fù)工作。
此次披露的漏洞編號為CVE-2025-32711,其嚴重性評分高達9.3,屬于極為危險的級別。微軟官方確認,通過服務(wù)端的全面修復(fù)措施,該漏洞已被有效緩解,且目前尚無證據(jù)表明有客戶因此受到影響。
據(jù)Aim Labs的詳細分析,EchoLeak漏洞的根源在于Microsoft 365 Copilot所依賴的檢索增強生成(RAG)系統(tǒng)存在設(shè)計缺陷。Copilot通過Microsoft Graph廣泛訪問組織內(nèi)部數(shù)據(jù),包括電子郵件、OneDrive文件、SharePoint站點及Teams對話等高度敏感的內(nèi)容。而攻擊者利用大語言模型權(quán)限越界技術(shù),通過精心構(gòu)造的外部郵件,能夠誘導(dǎo)AI系統(tǒng)違規(guī)訪問并泄露這些數(shù)據(jù)。
研究人員詳細展示了EchoLeak漏洞的多階段攻擊流程,這一過程巧妙地繞過了微軟的多項安全防御措施。首先,他們通過偽裝郵件內(nèi)容,成功規(guī)避了跨提示注入攻擊(XPIA)分類器的檢測,使郵件看起來像是正常的用戶指令。接著,利用微軟鏈接過濾系統(tǒng)的漏洞,采用引用式Markdown格式巧妙隱藏惡意內(nèi)容。更進一步,通過嵌入惡意圖片引用,觸發(fā)瀏覽器向攻擊者控制的服務(wù)器發(fā)送請求,自動泄露敏感數(shù)據(jù)。
研究人員還充分利用了微軟Teams的合法基礎(chǔ)設(shè)施,規(guī)避了內(nèi)容安全策略的限制。為了提高攻擊的成功率,他們還開發(fā)了一種名為“RAG spraying”的技術(shù),通過發(fā)送包含多個主題的郵件內(nèi)容,精準匹配Copilot的語義搜索系統(tǒng),進一步增強了攻擊的隱蔽性和有效性。
微軟在隨后的安全公告中重申,“EchoLeak”漏洞的CVSS評分為9.3,屬于極高危級別,但公司已通過服務(wù)端修復(fù)措施全面緩解了該漏洞帶來的風險,客戶無需采取額外行動。同時,微軟強調(diào),目前沒有證據(jù)表明該漏洞已被實際利用,也未對任何客戶造成實質(zhì)性影響。
本文鏈接:http://www.tebozhan.com/showinfo-21-159143-0.htmlMicrosoft 365 Copilot 高危漏洞曝光,微軟緊急修復(fù)保安全
聲明:本網(wǎng)頁內(nèi)容旨在傳播知識,若有侵權(quán)等問題請及時與本網(wǎng)聯(lián)系,我們將在第一時間刪除處理。郵件:2376512515@qq.com
Copyright ? 2016-2023 天津谷騏科技有限公司 版權(quán)所有 sitemap.xml
違法及侵權(quán)請聯(lián)系:2376512515@qq.com 津ICP備18001702號
津公網(wǎng)安備 12010102000574號