Meta 警告称,其旗下流行的即时通讯平台 WhatsApp 的 Microsoft Windows 版本存在一个重大漏洞,可能使用户面临各种网络攻击风险,包括勒索软件攻击。
在一份在线公告中,Meta 表示这个欺骗性问题 (正在被追踪为 CVE-2025-30401,存在于 2.2450.6 之前的版本) 会导致 WhatsApp 根据多用途互联网邮件扩展 (MIME) 类型显示通过该平台发送的附件,但实际上是根据附件的真实文件扩展名来选择文件打开程序。
在这种情况下,如果恶意攻击者故意修改 MIME 类型,可能会导致接收者在 WhatsApp 内手动打开附件时,inadvertently 执行任意代码,而不是查看附件内容。
实际上,这意味着受害者可能会看到一个看似无害的 .jpeg 文件并被诱导打开它,但实际上它可能是一个 .exe 文件 - 也就是说,是恶意软件。
据在线银行 Revolut 最新发布的数据显示,2024 年英国五分之一的诈骗案都以 WhatsApp 为主要攻击途径,且在 6 月至 12 月期间,此类诈骗数量增长了 67%。
更广泛地说,包括 Facebook 和 Instagram 在内的 Meta 平台因其庞大的消费者用户群且这些用户往往缺乏基本的个人安全意识,而备受网络犯罪分子青睐。
CyberSmart 高级网络安全顾问 Adam Pilton 表示:"大多数人都会加入 WhatsApp 群组,在群组中分享图片是很常见的,这就是这个漏洞变得危险的地方。如果网络犯罪分子能够在你的群组中分享这种图片,或者通过你信任的人分享到你的群组中,群组中的任何人都可能在不知情的情况下执行与该共享图片相关的恶意代码。"
KnowBe4 的安全意识倡导者 Martin Kraemer 表示,WhatsApp 的近乎普遍使用使得此类漏洞可能对消费者和组织都产生极大影响。
他说:"WhatsApp 已成为生活中不可或缺的一部分,从预约理发到与招聘人员分享简历。作为首选的通信平台,Windows 客户端已成为许多人在处理专业和私人事务时在后台运行的重要助手。"
由于 WhatsApp 已深深融入我们的通信和工作习惯,我们已经形成了自动化行为、高度信任和依赖性,这正是攻击者喜欢利用的,就像现在 Windows 客户端中出现的这个漏洞一样。用户不能轻视这个漏洞,应该立即将软件更新到最新版本。
Kraemer 警告说,在此期间,WhatsApp 用户在打开通过该服务发送的附件或文件时应始终保持极度谨慎。理想情况下,他说最佳做法是像对待电子邮件账户一样对待它,永远不要打开意外收到的文件,特别是来自新联系人的文件。
Pilton 补充说:"值得欣慰的是,解决方案就在手边而且很简单,那就是更新 WhatsApp。网络犯罪分子会继续利用我们使用的软件中的漏洞,而软件提供商会继续提供更新或补丁来保护我们免受网络犯罪分子的攻击。这就是为什么漏洞管理,也就是应用软件提供商发布的更新,如此重要。"
好文章,需要你的鼓励
Docker公司通过增强的compose框架和新基础设施工具,将自己定位为AI智能体开发的核心编排平台。该平台在compose规范中新增"models"元素,允许开发者在同一YAML文件中定义AI智能体、大语言模型和工具。支持LangGraph、CrewAI等多个AI框架,提供Docker Offload服务访问NVIDIA L4 GPU,并与谷歌云、微软Azure建立合作。通过MCP网关提供企业级安全隔离,解决了企业AI项目从概念验证到生产部署的断层问题。
中科院联合字节跳动开发全新AI评测基准TreeBench,揭示当前最先进模型在复杂视觉推理上的重大缺陷。即使OpenAI o3也仅获得54.87%分数。研究团队同时提出TreeVGR训练方法,通过要求AI同时给出答案和精确定位,实现真正可追溯的视觉推理,为构建更透明可信的AI系统开辟新路径。
马斯克的AI女友"Ani"引爆全球,腾讯RLVER框架突破情感理解边界:AI下半场竞争核心已转向对人性的精准把握。当技术学会共情,虚拟陪伴不再停留于脚本应答,而是通过"心与心的循环"真正理解人类孤独——这背后是强化学习算法与思考模式的化学反应,让AI从解决问题转向拥抱情感。
PyVision是上海AI实验室开发的革命性视觉推理框架,让AI系统能够根据具体问题动态创造Python工具,而非依赖预设工具集。通过多轮交互机制,PyVision在多项基准测试中实现显著性能提升,其中在符号视觉任务上提升达31.1%。该框架展现了从"工具使用者"到"工具创造者"的AI能力跃迁,为通用人工智能的发展开辟了新路径。