文章总结： 腾讯玄武实验室2026年6月16日安全动态推送披露了8个高危漏洞与攻击事件，涵盖macOS本地提权、ApacheMINA反序列化RCE、FreeBSD内核提权、KVM虚拟机逃逸等关键技术细节。报告重点分析了OceanLotus供应链攻击和北韩黑客滥用GitHub的新手法，并为每个漏洞提供了PoC、IoC指标及缓解建议，对安全从业者具有即时预警和实战参考价值。 综合评分： 85 文章分类： 漏洞分析,威胁情报,恶意软件,红队,安全运营

每日安全动态推送(26/6/16)

原创

admin admin

腾讯玄武实验室

2026年6月16日 13:27 中国香港

在小说阅读器读本章

去阅读

•  Slate Digital Connect 中因 XPC 客户端验证不安全导致的 macOS 本地提权漏洞 https://sec-consult.com/vulnerability-lab/advisory/local-privilege-escalation-in-slate-digital-connect/

本文揭示了 Slate Digital Connect macOS 应用中两个关键的本地提权漏洞（CVE-2026-24066 和 CVE-2026-24067），详细剖析了因 XPC 客户端验证逻辑缺陷导致攻击者利用自签名证书或进程ID复用获取 root 权限的完整攻击链。鉴于厂商自2026年1月起失联且暂无补丁，该报告为音频创作者及macOS安全研究人员提供了至关重要的即时风险预警与缓解建议。

•  OceanLotus APT32 通过供应链攻击入侵 FireAnt MetaKit 并部署 SPECTRALVIPER 后门 https://cybersecuritynews.com/oceanlotus-apt-compromises-fireant-metakit/

本文深入剖析了越南APT组织OceanLotus针对国内金融投资者发起的罕见供应链攻击，揭示了其利用FireAnt MetaKit更新漏洞部署SPECTRALVIPER后门以支持国内反腐调查的战术转变。文章不仅详细拆解了该高级威胁的DLL侧加载与横向移动技术细节，更提供了关键的IoC指标，为金融安全从业者防范国家级定向攻击提供了极具时效性的实战参考。

•  CVE-2026-42779：绕过 Apache MINA 反序列化白名单实现远程代码执行 https://blog.securelayer7.net/cve-2026-42779-apache-mina-deserialization-rce/

本文揭示了 Apache MINA 框架中一个极具隐蔽性的反序列化绕过漏洞（CVE-2026-42779），该漏洞利用自定义类描述符类型标记（0x00）成功绕过了旨在防御 JEP 290 风格的白名单检查。文章不仅提供了完整的攻击链复现与 PoC，更深刻剖析了安全补丁在稳定分支中因代码路径遗漏而失效的‘不完全修复’陷阱，为运维团队提供了关键的紧急升级依据。

•  CVE-2026-45257：FreeBSD kTLS-RX 就地 AES-GCM 解密通过 sendfile(2) EXTPG Mbufs 实现本地提权至 Root https://seclists.org/oss-sec/2026/q2/881

本文揭示了 FreeBSD 中一个类似 Linux Dirty Pipe 的严重本地提权漏洞（CVE-2026-45257），攻击者可利用 kTLS 解密机制绕过文件系统权限和不可变标志，直接篡改页面缓存。该发现不仅提供了从普通用户到 root 的可靠提权路径，更深刻暴露了内核子系统间交互时缺乏边界检查的致命隐患。

•  ITScape：首个利用 vGIC-ITS Double-put UAF 漏洞的 KVM/arm64 虚拟机逃逸（CVE-2026-46316） https://seclists.org/oss-sec/2026/q2/877

本文披露了首个针对 KVM/arm64 架构的客主机逃逸漏洞（CVE-2026-46316），利用 vGIC-ITS 中的双重释放错误实现内核级权限提升。作为 ARM 虚拟云环境隔离性的重大突破，该研究为多租户云安全提供了至关重要的预警与修复依据。

•  UNK_DeadDrop：朝鲜黑客利用 GitHub 仓库作为武器感染开发者 https://cybersecuritynews.com/north-korea-aligned-hackers-abuse-github-repositories/

本文深入剖析了北韩关联黑客组织如何利用 GitHub 仓库中的隐藏 VS Code 任务文件（tasks.json）进行跨平台静默攻击，精准打击开发者工作流。其核心亮点在于揭示了攻击者如何巧妙利用 IDE 的自动化机制绕过传统防御，在无需用户交互的情况下窃取加密货币钱包与凭证，为开发安全提供了至关重要的预警。

•  FROST：基于浏览器OPFS的SSD时序攻击实现远程网站与应用追踪 https://thehackernews.com/2026/06/new-frost-attack-lets-websites-track.html

本文揭示了名为 FROST 的新型零点击攻击，它仅利用浏览器沙箱内的 JavaScript 和 SSD 时序侧信道，无需任何权限即可精准推断用户访问的网站和运行的应用。该研究不仅突破了传统本地攻击的边界，更深刻警示了现代浏览器赋予 Web 应用近乎原生硬件访问权所带来的结构性隐私泄露风险。

•  Off By !：利用 Linux 内核 nftables 子系统中的 Use-after-Free 漏洞实现本地提权 https://blog.exodusintel.com/2026/06/08/off-by-exploiting-a-use-after-free-in-the-linux-kernel/

本文深入剖析了 Linux 内核 nftables 子系统中一个严重的释放后使用（Use-After-Free）漏洞（CVE-2026-23111），并详细演示了如何利用该漏洞在多个主流发行版上实现从普通用户到 root 的本地权限提升。文章的核心亮点在于其清晰揭示了 nftables 代际掩码机制在删除判决映射时的逻辑缺陷，为内核安全研究人员提供了极具价值的实战分析。

* 查看或搜索历史推送内容请访问： https://sectoday.tencent.com/ * 新浪微博账号： 腾讯玄武实验室 https://weibo.com/xuanwulab * 微信公众号： 腾讯玄武实验室

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：腾讯玄武实验室 admin admin《每日安全动态推送(26/6/16)》