FreeBuf周报 | ChatGPT 被诱导自我注入攻击；Windows内核0Day漏洞遭野外利用提权

摘要：各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！

🍮ChatGPT被诱导自我注入攻击，7 种新型手法窃取隐私数据

💻Windows内核0Day漏洞遭野外利用提权（CVE-2025-62215）

⚔️攻击者利用自定义GPT的SSRF漏洞窃取ChatGPT机密数据

🛡️GlassWorm蠕虫卷土重来：开源安全体系暴露根本性缺陷

ChatGPT被诱导自我注入攻击，7 种新型手法窃取隐私数据网络安全公司Tenable发现七种利用ChatGPT默认功能窃取用户数据的新方法，包括间接提示注入、对话注入和滥用记忆功能，攻击者可诱骗AI泄露隐私。部分漏洞在GPT-5中仍存在，凸显LLM固有安全风险。

Windows内核0Day漏洞遭野外利用提权（CVE-2025-62215）

微软披露高危内核漏洞CVE-2025-62215，已在野外被利用，可提权至SYSTEM权限。影响所有Windows版本，需立即修补。攻击者常借此深化控制，建议优先更新服务器和管理终端。

AI初创企业在GitHub泄露敏感凭证，模型与训练数据面临风险

全球65%顶级AI企业因创新优先暴露API密钥，估值超4000亿美元资产面临模型窃取、数据泄露风险。云配置错误和密钥管理不当凸显AI行业安全短板，合规治理迫在眉睫。

GitHub Copilot与Visual Studio漏洞可致攻击者绕过安全防护功能

2025年11月微软披露GitHub Copilot和Visual Studio两个高危漏洞，涉及路径遍历和AI输出验证缺陷，可绕过安全防护。攻击者需本地权限，但可能窃取敏感数据或注入恶意代码。建议立即更新并加强代码审查。

攻击者利用自定义GPT的SSRF漏洞窃取ChatGPT机密数据

OpenAI的ChatGPT存在SSRF漏洞，攻击者可利用自定义GPT的"Action"功能访问内部云元数据，导致Azure凭证泄露。漏洞通过外部HTTPS重绕限制，注入"Metadata"标头获取权限。该漏洞已修复。

GlassWorm蠕虫卷土重来：开源安全体系暴露根本性缺陷GlassWorm蠕虫利用隐形Unicode字符和区块链C2技术卷土重来，感染VS Code扩展及GitHub仓库，威胁全球开发者与关键设施。开源市场审查不足暴露供应链安全缺陷，需加强人工审查与可信发布机制。

三星0Day漏洞遭间谍软件LANDFALL利用入侵Galaxy设备新型Android间谍软件LANDFALL利用三星图像库0Day漏洞（CVE-2025-21042），通过WhatsApp发送恶意DNG图像实现零点击感染，主要针对中东Galaxy用户，具备全面监控功能，疑似商业间谍软件供应商所为。

runc关键漏洞威胁Docker和Kubernetes容器隔离安全

runc曝出三个关键漏洞（CVE-2025-31133/52565/52881），攻击者可突破容器隔离获取宿主机root权限。所有版本受影响，已发布修复版本1.2.8/1.3.3/1.4.0-rc.3+，建议立即升级并启用用户命名空间防护。

Chrome修复V8 JavaScript引擎高危实现漏洞

谷歌发布Chrome 142.0.7444.162/.163版本，修复V8引擎高危漏洞CVE-2025-13042，建议用户尽快更新。该漏洞可能被恶意代码利用，更新将逐步推送至各平台。

NVIDIA App漏洞可导致攻击者执行恶意代码（CVE-2025-23358）

NVIDIA修复Windows版APP高危漏洞CVE-2025-23358，该漏洞允许本地攻击者通过安装程序组件执行任意代码并提权，CVSS评分8.2。建议用户立即升级至11.0.5.260或更高版本。

本周好文推荐指数

AI 安全工具的 “阿喀琉斯之踵”：即时注入攻击的威胁与防御体系构建

Microsoft SharePoint远程代码执行漏洞（CVE-2025-53770）分析报告

从原理到实战：一文读懂Web缓存欺骗漏洞

来源：FreeBuf

标签： windows chatgpt 提权 0day 0day漏洞

免责声明：本站系转载，并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题，请在30日内与本站联系，我们将在第一时间删除内容!