資安雷達 2026 年 5 月 25 日

2026-05-25 — Mozilla Claude Mythos Preview 找出 271 Firefox 漏洞、NGINX rewrite CVE-2026-9256、Microsoft 內部帳號遭釣魚濫用

primary=https://hacks.mozilla.org/2026/05/behind-the-scenes-hardening-firefox/ primary=https://www.openwall.com/lists/oss-security/2026/05/22/ primary=https://techcrunch.com/2026/05/21/scammers-are-abusing-an-internal-microsoft-account-to-send-spam/

Charlie · github.com/charlie0227 · 1 min read

Mozilla 用 Claude Mythos Preview 找出 Firefox 271 個漏洞:代理式 AI 安全審查實錄

Mozilla Hacks · 2026-05-07

Mozilla 發表技術文章,揭露使用 Claude Mythos Preview(先前曾使用 GPT-4 與 Sonnet 3.5 實驗)對 Firefox 150 進行系統性安全審查的過程與結果。在 Firefox 150 的一個審查週期中,AI 代理共識別出 271 個漏洞,其中 180 個為 sec-high、80 個為 sec-moderate、11 個為 sec-low,4 月發布的修復總計超過 423 個安全 bug。

漏洞機制

AI 代理發現的漏洞橫跨 Firefox 的多個子系統,包括:

  • JIT/WebAssembly 缺陷:錯誤的相等性檢查允許建構假物件原語(fake-object primitive)
  • 歷史遺留 HTML bug:存在 15 年的 <legend> 元素漏洞
  • IPC 競態條件:IndexedDB refcount 操作與 NaN 反序列化攻擊
  • Use-After-Free:Event loop 與 GC 時序競爭
  • XSLT 漏洞:存在 20 年的 key() hash table 可重入問題
  • 沙盒逃脫:RLBox 驗證缺口與壁紙圖片解碼路徑
  • 表格解析整數溢位rowspan=0 語意觸發的溢位

代理式審查方法

Mozilla 的核心創新是建立「代理式測試框架(agentic harness)」而非純靜態分析:AI 代理不只閱讀程式碼,而是能建立並執行可重現的測試案例,動態驗證對 bug 的假設。這個框架建立在既有的 Fuzzing 基礎設施之上,並行部署在多個短暫虛擬機上,每個 VM 負責特定的目標檔案。

工作流程涉及對 Firefox 的多個核心模組進行覆蓋,包括 JIT 編譯、WebAssembly、IPC 機制、IndexedDB、WebTransport、HTML 解析、圖片解碼與 RLBox 沙盒技術。框架還需整合去重(deduplication)、bug 追蹤、優先排序與修復釋出流程,這部分是各專案特有的基礎設施挑戰。

影響範圍

這份報告意義在於展示了 AI 代理在發現「需要跨多進程瀏覽器引擎程式碼進行複雜推理」的漏洞上的實際能力。靜態分析工具(如 Coverity)通常無法追蹤跨進程的時序問題,而 AI 代理配合動態測試可以捕獲這類複雜漏洞。Mozilla 的方法論對其他大型 C++ 專案的安全團隊具有直接的參考價值。

原始來源:Mozilla Hacks

NGINX CVE-2026-9256:ngx_http_rewrite_module 緩衝區溢位漏洞

oss-security mailing list · 2026-05-22

NGINX 的 ngx_http_rewrite_module 被揭露存在緩衝區溢位漏洞,編號 CVE-2026-9256。ngx_http_rewrite_module 是 NGINX 中處理 URL rewrite、if 指令、setreturnbreak 等配置指令的核心模組,廣泛部署於幾乎所有 NGINX 生產環境。

漏洞機制

ngx_http_rewrite_module 使用一個基於堆疊的腳本引擎來執行 rewrite 規則。漏洞存在於指令解析或腳本執行路徑中的緩衝區處理,攻擊者在特定條件下可觸發堆疊或堆積溢位。具體利用條件與 CVSS 評分尚未完整公開,但鑑於 ngx_http_rewrite_module 預設啟用且處理用戶可控的 HTTP 請求,潛在影響範圍廣泛。

受影響版本

確切的受影響版本範圍以及是否存在 mainline/stable 版本的差異,需參閱 NGINX 官方安全公告。鑑於此模組幾乎在所有 NGINX 部署中啟用,建議所有 NGINX 使用者在官方修補發布後優先升級,並暫時審查是否有不必要的複雜 rewrite 規則可以簡化以降低攻擊面。

修補與緩解

  • 持續關注 NGINX 官方安全公告 以獲取最新修補版本
  • 若部署在反向代理前端,確認 WAF 規則是否能過濾觸發條件的請求
  • 審查 nginx.conf 中的 rewrite 規則複雜度,移除非必要的動態 rewrite 邏輯

原始來源:oss-security mailing list

詐騙者濫用 Microsoft 內部郵件帳號 msonlineservicesteam 發送釣魚郵件

TechCrunch · 2026-05-21

詐騙者發現並利用一個 Microsoft 系統漏洞,使用 msonlineservicesteam@microsoftonline.com 這個 Microsoft 用於傳送 2FA 驗證碼與帳號安全通知的合法內部郵件地址,向外發送釣魚郵件。由於發送來源是 Microsoft 自己的郵件基礎設施,這些郵件可以順利通過大多數企業的 SPF/DKIM/DMARC 驗證。

漏洞機制

攻擊者的利用方式是透過 Microsoft 的新用戶端帳號建立流程,找到允許以受控方式透過此官方地址觸發外發郵件的路徑。確切的技術細節尚未公開,但可能涉及以下一種或多種路徑:新帳號建立時的通知觸發、密碼重設或驗證流程中的郵件模板注入,或 Microsoft 某個消費者服務 API 的參數濫用。收件人看到的寄件者是合法 Microsoft 地址,造成高度欺騙性。

受影響範圍

這類濫用特別危險,原因在於:

  • 收件者通常被訓練要信任來自 @microsoftonline.com 的郵件
  • 企業 Email Security Gateway 難以封鎖,因為 SPF/DKIM 記錄是合法的
  • 釣魚郵件可以冒充密碼重設、MFA 要求、帳號安全警告等高優先通知

修補與緩解

Microsoft 已確認此問題並表示正在調查。在修補完成前,建議企業用戶:對任何要求點擊連結或輸入憑證的「Microsoft 通知」郵件抱持懷疑,直接前往 account.microsoft.com 確認帳號狀態而非點擊郵件中的連結。IT 管理員可考慮在 Email Security Gateway 建立對此類郵件的額外驗證規則。

原始來源:TechCrunch

End of article

More on this topic

資安雷達
2026-05-24 — Nezha RCE CVE-2026-46716(CVSS 9.9)、Parse Server ReDoS CVE-2026-47138、Android 2026 安全更新
5 月 24, 2026 · 1 min read
資安雷達
2026-05-23 — CVE-2026-46529 Evince RCE、Megalodon GitHub Actions 供應鏈攻擊、Google API Key 刪除延遲
5 月 23, 2026 · 1 min read
資安雷達
2026-05-22 — CVE-2026-47243 Kata Containers virtiofs 逃脫、CVE-2026-46680 containerd runAsNonRoot 繞過、Twig 三連沙箱 CVE
5 月 22, 2026 · 1 min read
0
Would love your thoughts, please comment.x
()
x