文章总结： 2026年3月31日安全事件汇总：Telegram被曝存在未修复零点击0day漏洞，官方否认但安全界高度警惕；俄罗斯APT组织TA446利用DarkSword工具包猎杀北约多国iPhone用户；JiraWorkManagement存储型XSS漏洞可致组织完全沦陷；搜索引擎排名遭投毒威胁用户安全；弱口令风险实测显示6位拼音密码2秒可破。建议用户立即更新相关软件、核查权限、警惕不明链接并强化密码策略。 综合评分： 85 文章分类： 漏洞预警,威胁情报,漏洞分析,安全建设,数据安全

Telegram零点击0Day官方否认但漏洞当场被验证，你的聊天记录已在别人手里

数据安全研究组 数据安全研究组

数据安全合规交流部落

2026年3月31日 07:40 广东

Telegram惊曝零点击0Day遭官方否认，俄APT组织TA446同日以DarkSword猎杀iPhone

2026年03月31日

Telegram 被曝存在未修复零点击 0Day 漏洞，可在用户无感知情况下完全接管设备，而官方矢口否认漏洞存在——这种”单方面否认”模式在安全圈历史上往往预示着更深层的问题。与此同时，俄罗斯关联 APT 组织 TA446 正利用 DarkSword 漏洞工具包对北约多国 iPhone 用户发起定向钓鱼攻击，目标直指政府与国防相关人员。Jira Work Management 存储型 XSS 漏洞则让企业内部协作系统成为攻击者的新跳板——低权限用户即可劫持管理员会话，一步实现整个组织沦陷。三月最后一天，攻击面比你想象的更宽。

🔴 重大事件

Telegram 零点击 0Day 漏洞被曝可无感知接管设备，官方全面否认，安全界高度警惕

FreeBuf 报道，安全研究人员披露 Telegram 存在未修复的零点击 0Day 漏洞，攻击者可在受害者无任何操作的情况下完全接管设备——无需点击链接，无需打开文件，仅凭接收特定消息或媒体内容即可触发利用链。Telegram 官方对此”矢口否认”，声称不存在该漏洞。这种”漏洞被曝 → 厂商否认 → 漏洞细节验证”的经典博弈已多次发生在高价值 0Day 的披露过程中，官方否认本身并不能作为漏洞不存在的证明。Telegram 在国内外大量用于企业沟通和行业交流，建议所有 Telegram 用户立即将应用更新至最新版本，并密切关注官方安全公告，在明确说明前保持高度警惕。 （来源：FreeBuf）

俄罗斯 APT 组织 TA446 利用 DarkSword 漏洞工具包猎杀 iPhone 用户：北约多国政府机构成主要目标

FreeBuf 披露，俄罗斯关联高级持续威胁组织 TA446 正在利用 DarkSword 漏洞利用工具包，针对北约成员国中的 iPhone 用户实施定向钓鱼攻击，目标覆盖政府机构、国防工业、外交部门等高价值人员群体。DarkSword 工具包专门针对 iOS 旧版本中的已知漏洞，通过高度定制化的钓鱼链接引诱目标点击，进而实现设备控制与数据窃取。对于涉密单位和政府机构：保持 iOS 系统最新版本是降低此类攻击风险最有效的单一操作，同时应对任何通过即时通讯或邮件发来的链接保持验证习惯。 （来源：FreeBuf）

Jira Work Management 存储型 XSS：低权限账号即可劫持管理员会话，整个组织面临完全沦陷

FreeBuf 披露 Jira Work Management 存储型跨站脚本漏洞，漏洞危害评级为”可导致组织完全沦陷”：持有低权限账号的攻击者（如外部合作方、低级员工）可通过在 Jira 任务或评论中注入恶意脚本，在管理员打开相关页面时劫持其会话，进而以管理员身份操控整个 Jira 实例——修改权限、访问机密项目数据、接管所有关联系统集成。Jira 在企业中与 CI/CD 流水线、代码仓库、项目管理系统深度集成，管理员账号被劫持的影响范围往往远超 Jira 本身。立即核查 Jira 版本并应用官方安全补丁，同时审查 Jira 实例的外部账号访问记录。 （来源：FreeBuf）

国家安全部警告：搜索引擎排名遭”投毒”，用户误点首位结果可能直接中招

嘶吼报道，国安机关发布重要安全提示：黑产团伙通过 SEO 投毒、广告位劫持等手段，将含有恶意代码或钓鱼内容的链接推至百度、谷歌等主流搜索引擎的首位结果，利用用户对”排名靠前即安全”的心理定势实施攻击。受害用户点击后将面临个人信息泄露、木马植入或账号被盗等风险。这一攻击模式针对的是搜索行为本身，即便是有安全意识的用户也可能因惯性点击而中招。在搜索任何涉及账号登录、软件下载的页面时，务必核对完整 URL 域名，而非仅凭排名位置判断可信度。 （来源：嘶吼）

央视实测弱口令危害：6 位拼音密码 2 秒被破，企业批量账号成入侵跳板

嘶吼报道，央视对弱密码风险进行了直播实测：6 位全拼音密码在专业破解工具下仅需 2 秒即可破解，而 8 位包含大小写字母、数字、特殊字符的复杂密码在同等条件下难以被暴力破解。多起实际案例显示，企业设备与服务账号的弱口令被批量撞库后，成为攻击者内网横向渗透的初始跳板，最终导致大规模数据泄露。密码策略强制升级是今天可以完成的最低成本、最高回报的安全改善措施之一。 （来源：嘶吼）

🟠 高危漏洞披露

Vim 漏洞可通过恶意文件执行任意命令：开发者日常编辑操作存在被 RCE 风险

FreeBuf 披露 Vim 文本编辑器高危漏洞，攻击者可通过构造特制恶意文件，在用户使用 Vim 打开该文件时触发任意命令执行。Vim 是 Linux/macOS 系统中最广泛使用的终端文本编辑器，几乎所有服务器运维人员、开发者、安全工程师都在日常使用。打开一个看似普通的文本文件即可触发 RCE，这将日常编辑操作变成了高风险行为。立即将 Vim 更新至官方发布的修复版本，并对从不可信来源获取的文本文件保持警惕。 （来源：FreeBuf）

攻击者滥用 .arpa 特殊顶级域名与 IPv6 反向 DNS 发起钓鱼攻击：绕过邮件安全网关

嘶吼披露，黑产团伙正大规模滥用 .arpa 顶级域名（互联网基础设施专用，主要用于反向 DNS 解析）和 IPv6 反向 DNS 机制构造钓鱼链接。由于 .arpa 域名长期被主流域名信誉检测系统标注为”基础设施域”而非普通网站，其信誉评分普遍偏高，导致包含此类链接的钓鱼邮件可有效绕过大量邮件安全网关的过滤规则。这是攻击者利用”信誉评估白名单”实施钓鱼的又一典型案例。 （来源：嘶吼）

Apifox 官方 CDN 供应链投毒持续发酵：绿盟 CERT 发布完整分析报告

绿盟 CERT 发布 Apifox 供应链投毒事件完整技术分析：攻击者将经过多重混淆的恶意 JavaScript 代码植入 Apifox 官方 CDN 托管的前端 JS 文件，Apifox 桌面客户端启动时自动加载，最终实现远程命令执行（RCE）。绿盟 CERT 提示影响范围较大，所有使用 Apifox 桌面客户端的用户均需立即核查，排查本机是否存在异常进程、网络连接及文件变更，并等待官方发布安全公告确认修复版本后再恢复使用。 （来源：绿盟 CERT）

CNVD 漏洞周报第 12 期：本周新增 400 个漏洞，高危占比 43.75%

CNVD 发布 2026 年第 12 期漏洞周报，本周（2026 年 3 月 23 日至 3 月 29 日）共收集整理信息安全漏洞 400 个，其中高危漏洞 175 个（占比 43.75%）、中危漏洞 200 个、低危漏洞 25 个。高危漏洞数量与本季度前几周相比有所回落，但仍处于高位水平，本周关注度较高的产品安全漏洞详见附报。 （来源：CNVD）

🟡 合规与监管动态

谷歌发布高风险 Chrome 安全更新：已知漏洞在野利用，今日必须完成浏览器升级

嘶吼报道，谷歌发布高风险级别的 Chrome 安全更新，修复了已被攻击者在野利用的安全漏洞。Chrome 浏览器的在野利用漏洞具有极高的实际影响面——几乎所有企业员工都在日常工作中使用 Chrome 访问业务系统、内网应用和敏感文档。今日必须完成更新：打开 Chrome → 菜单 → 帮助 → 关于 Google Chrome → 等待自动更新完成并重启。 （来源：嘶吼）

工信部 AI 安全治理 121 项标准征求意见持续：MCP 协议安全规范进入关键阶段

工信部 AI 安全治理行业标准征求意见继续推进，模型上下文协议（MCP）安全规范是核心内容，明确 AI Agent 通信的安全底线。博鳌论坛同期披露，中国信通院指出普及型 AI 智能体存在权限失控隐患，建议上线前完成安全评估。AI 产品合规团队应在本季度内对 MCP 协议实现进行安全审查，避免标准落地后面临强制整改。 （来源：嘶吼）

🌐 国际动态

Last Week in Security：Citrix NetScaler 漏洞、BIOS 安全绕过、苹果安全警报成上周焦点

unSafe.sh 摘要显示，上周国际安全重要议题包括：Citrix NetScaler 漏洞分析深度发布、BIOS 安全功能禁用技术研究、苹果向特定用户发送安全警报（疑与 TA446/DarkSword 攻击活动相关）、以及 FBI 局长邮件泄露事件。Cobalt Strike 研究实验室同期发布新研究，揭示红队工具在 APT 攻击中的实际使用模式演进趋势。 （来源：unSafe.sh）

微软 3 月安全更新：修复 83 个安全问题，含 Windows/Office/Azure 高危 RCE 与权限提升

绿盟 CERT 报道，微软 3 月安全更新补丁修复 83 个安全问题，涉及 Windows、Microsoft Office、Microsoft SQL Server、Azure 等广泛使用的产品，高危漏洞类型包括权限提升与远程代码执行。三月安全更新周期已接近尾声，仍未完成微软补丁部署的机构应在本周内完成更新，避免已公开漏洞持续暴露。 （来源：绿盟 CERT）

💡 今日安全建议

① Telegram 0Day 尚未明朗——今天就完成更新，并对重要频道的外来链接提高警惕 无论官方是否承认漏洞存在，更新 Telegram 至最新版本是零成本的防御措施，今天完成无任何损失。同时，在漏洞状态明朗之前，对通过 Telegram 接收到的任何链接、媒体文件、联系人请求保持谨慎——特别是涉及政府、国防、关键基础设施行业的人员，应将此视为临时高风险状态对待。

② Jira 安全检查三步走：查版本、打补丁、审外部账号 今天安排一位工程师完成 Jira 安全三步检查：（1）核查当前 Jira 版本是否在受影响范围；（2）部署官方安全补丁；（3）审查所有外部合作方、承包商的 Jira 账号权限，删除不再需要的账号，将必要账号的权限降至最小化。存储型 XSS 的利用不需要任何特殊技能，有 Jira 账号的人都是潜在的攻击发起点。

③ 今天在全员内推送”搜索安全意识”提醒：不要相信排名，要相信域名 国安部的搜索引擎投毒警告指向一个极普遍的安全习惯问题——太多人认为”搜索结果第一名 = 可信”。建议今天向所有员工发一条简短提醒：任何从搜索引擎点击进入需要登录的页面，必须核对浏览器地址栏中的完整域名；任何通过搜索结果进入的软件下载页面，必须确认是官方域名而非仿冒站点。这条习惯的养成，可以阻断大量初始钓鱼攻击。

数据来源：安全客 · FreeBuf · 嘶吼 · 安全牛 · 先知安全 · Seebug Paper · 绿盟 CERT · CNVD · CNNVD 本文仅供安全防御研究参考，请在合法授权范围内使用相关技术信息 转载请注明来源

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：数据安全合规交流部落 数据安全研究组 数据安全研究组《Telegram零点击0Day官方否认但漏洞当场被验证，你的聊天记录已在别人手里》