← 返回安全博客
安全简报 2026年2月13日 7分钟阅读

零日漏洞风暴:苹果与微软遭受主动攻击

苹果修补了针对iOS/macOS的"极为复杂"的针对性攻击,而微软在周二补丁日修复了6个主动利用的零日漏洞。与此同时,一个拥有200万台设备的僵尸网络正在破坏隐私网络,威胁行为者的心理战术不断升级。


需立即修补的关键漏洞

苹果零日漏洞 (CVE-2026-20700) — 立即修补

苹果的dyld(动态链接编辑器)存在内存破坏缺陷,可实现任意代码执行。谷歌威胁分析小组(TAG)发现该漏洞正被用于"针对特定目标个人的极为复杂的攻击"。

受影响系统:iOS、iPadOS、macOS Tahoe、tvOS、watchOS、visionOS

微软周二补丁日 — 6个零日漏洞遭利用

CVE编号 组件 影响
CVE-2026-21510 Windows Shell 单击链接即可绕过安全机制
CVE-2026-21513 MSHTML 浏览器引擎绕过
CVE-2026-21514 Microsoft Word 基于文档的绕过
CVE-2026-21533 远程桌面 本地权限提升至SYSTEM
CVE-2026-21519 桌面窗口管理器 权限提升
CVE-2026-21525 远程访问 VPN服务中断

合计:59个漏洞(5个严重,52个重要)

其他关键更新


本周重大数据泄露事件

组织 记录数量 类型
Odido(荷兰电信) 620万 客户数据
ApolloMD医疗保健 62.6万 患者记录
Conduent → 沃尔沃集团 1.7万 员工数据
Conpet(罗马尼亚石油) 未知 Qilin勒索软件

AI驱动威胁激增

虚假AI Chrome扩展程序:30个恶意扩展程序,安装量超过30万次,通过伪装成AI助手窃取凭证。

AMOS信息窃取器:通过利用AI炒作周期,使用植入木马的AI应用程序针对macOS用户。

模型盗窃警告:谷歌GTIG警告称,黑客正在利用合法API访问权限提取和复制AI模型逻辑。


威胁行为者聚焦:SLSH

Scattered Lapsus ShinyHunters团伙已从勒索软件演变为心理战

专家建议:切勿谈判,切勿支付赎金。


KENSAI如何保护您

实时CVE监控 — 所有6个微软零日漏洞均在数小时内索引完成

补丁优先级评分 — 针对您的技术栈进行AI驱动的风险评估

供应链扫描 — 检测已放弃或被劫持的依赖项

持续暴露面管理 — 领先于84%尚未部署CTEM的组织


建议采取的行动

  1. 立即:应用苹果和微软补丁
  2. 今日:审核BeyondTrust、WordPress WPvivid、SAP安装情况
  3. 本周:审查组织内的Chrome扩展程序
  4. 持续进行:实施CTEM — 目前仅16%的组织已部署

使用KENSAI保护您的组织

AI驱动的漏洞管理系统,已索引331,910+个CVE。

开始免费试用

保持安全。保持警惕。

🗡️ KENSAI安全团队

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home

📚 Related Articles

🛡️ Is your website secure?

Discover vulnerabilities before attackers do.

Scan your website for free →