FreeBuf周报 | Chrome高危类型混淆0-Day漏洞技术分析;微软以AI成功对抗AI
各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、一周好文,保证大家不错过本周的每一个重点!🪟Chrome高危类型混淆0-Day漏洞(CVE-2025-105
阅读全文首个恶意MCP服务器现身:通过AI代理窃取电子邮件数据
网络安全研究人员发现首例恶意Model-Context-Prompt(MCP,模型-上下文-提示)服务器在野利用案例。名为postmark-mcp的npm软件包被植入木马,秘密窃取用户电子邮件中的敏感
阅读全文AI对抗AI:微软成功拦截利用LLM生成混淆代码的网络钓鱼攻击
微软威胁情报中心近日披露了一起凭证钓鱼攻击活动的细节,攻击者很可能利用AI生成的代码增强混淆技术,试图绕过传统防御系统。虽然该攻击最终被拦截,但这一案例表明网络犯罪分子正开始将大语言模型(LLMs)整
阅读全文网安职业的五大残酷现实;暗网监控实战指南 | 2025网安行业优质播客精选集⑩
01 CISO 暗网监控实战指南从预警到防御行动本期节目:企业信息安全负责人可通过监控暗网实现主动防御,利用早期威胁信号进行预警与响应,结合技术工具与内部日志关联分析,提升整体安全防御能力。02 首席
阅读全文思科两大0day漏洞同时曝光:ASA/FTD设备VPN缺陷可导致Root权限远程代码执行
思科公司近日发布两则公告及对应补丁,其Secure Firewall Adaptive Security Appliance(ASA)软件和Secure Firewall Threat Defense
阅读全文NVIDIA修复Megatron-LM AI框架中的高危代码注入漏洞
NVIDIA近日发布重要安全更新,修复其开源项目Megatron-LM(一个广泛应用于AI研究和企业环境的大型语言模型框架)中存在的多个高危漏洞。Part01漏洞概况此次更新涉及四个高危漏洞(CVE编
阅读全文怎么让挖的XSS更值钱?
平时挖漏洞的时候,XSS 经常被人觉得没啥用。但说实话,漏洞有没有价值,全看你怎么挖,跟漏洞类型关系真不大。 比如有人发现 POST 型 XSS 会被问 "这洞能干嘛",但其实把它转成 GET 请求,
阅读全文万兴易修曝出两大高危漏洞,可导致数据泄露以及AI模型被修改
网络安全研究人员在万兴易修中发现两个安全漏洞,可能导致用户隐私数据泄露,并使系统面临人工智能(AI)模型篡改和供应链攻击风险。Part01高危漏洞技术细节趋势科技发现的两个关键漏洞分别为:(CVE-2
阅读全文Chromium内核浏览器存严重缺陷,攻击者可通过加载任意扩展程序入侵
包括Chrome、Edge和Brave在内的Chromium内核浏览器,通过存储在%AppData%\Google\User Data\Default\Preferences(域加入机器)或Secur
阅读全文Linux内核ksmbd漏洞允许远程攻击者执行任意代码(CVE-2025-38561)
Part01漏洞概述Linux内核的ksmbd SMB服务器实现中被披露存在一个高危漏洞,可能允许经过身份验证的远程攻击者在受影响系统上执行任意代码。该漏洞编号为CVE-2025-38561,CVSS
阅读全文一加手机OxygenOS存在权限绕过漏洞,攻击者可窃取短信并绕过MFA保护
Rapid7研究人员披露了一加OxygenOS(一加专为海外市场开发的Android系统)中存在的一个关键权限绕过漏洞,CVE编号CVE-2025-10184。该漏洞允许受影响设备上安装的任何应用程序
阅读全文2025外滩大会YASA开源发布:打造多语言统一程序分析引擎
开放式统一多语言程序分析产品YASA(Yet Another Static Analyzer )是一个开源的静态程序分析项目。其核心是定义了一种多语言通用的中间表达——统一抽象语法树(Unified
阅读全文攻击者利用IMDS服务获取云环境初始访问权限
威胁行为者正在操纵实例元数据服务(Instance Metadata Service,IMDS)——这个旨在安全地为计算实例提供临时凭证的核心组件,以渗透和遍历云基础设施。通过诱导未设防的应用程序查询
阅读全文Zloader木马再次升级:通过DNS隧道和WebSocket C2实现更隐蔽的攻击
沉寂近两年后,Zloader(又名Terdot、DELoader或Silent Night)携新版本卷土重来,其反分析、混淆及命令控制(C2)能力均显著增强。Zscaler ThreatLabz研究人
阅读全文Chrome高危类型混淆0-Day漏洞,可导致远程代码执行
Part01漏洞概述Google Chrome浏览器的V8 JavaScript引擎曝出关键类型混淆0-Day漏洞(CVE-2025-10585),这是2025年发现的第六个已被活跃利用的Chrome
阅读全文蚂蚁集团“切面融合智能”项目获评2025年浙江省网络安全优秀案例、入选2025年人工智能先锋案例
近期,蚂蚁集团“切面融合智能”相关项目接连获得行业认可,“切面融合智能在网络安全领域的应用”获评2025年浙江省网络安全优秀案例,“密态切面融合智能威胁检测系统“入选2025年人工智能先锋案例“AI+
阅读全文22.2Tbps DDoS攻击再次刷新网络攻击世界纪录
Cloudflare近日宣布成功自动拦截了有史以来最大规模的分布式拒绝服务(DDoS)攻击。这次超大规模攻击峰值达到创纪录的22.2Tbps带宽和每秒106亿个数据包,为网络威胁规模树立了新的危险标杆
阅读全文Steam游戏成为恶意软件载体,以补丁更新形式入侵玩家电脑
Part01游戏补丁暗藏恶意程序一款针对热门2D平台游戏《BlockBlasters》的看似无害的补丁更新,近期被证实为精心设计的恶意软件攻击活动,导致数百名Steam用户面临数据窃取和系统入侵风险。
阅读全文Cake工具评测:资产收集能力远超OneForAll,附魔后更是强得无边
前言在红队行动中,资产收集是否全面、是否高效,常常会直接影响后续的工作成效。Cake正是在这方面表现突出的一款工具,帮助我们更好地完成资产收集。要怎么做?只需输入公司名或域名,一键完成自动化资产收集与
阅读全文数据库成为突破口:勒索软件攻击暴露的Oracle服务器
网Yarix事件响应团队(YIR)发布了一份针对性入侵的深度分析报告,攻击者利用暴露的Oracle数据库调度程序功能获取了企业基础设施的访问权限。Part01攻击始于数据库暴力破解攻击最初表现为针对O
阅读全文Unicode漏洞“BiDi Swap”十年未修复,仍被用于实施网址欺骗
Varonis威胁实验室团队发布了一份令人警醒的报告,揭露现代浏览器处理混合文本方向时存在的一个持续十年以上的漏洞。这种被称为BiDi Swap的缺陷,允许攻击者伪造看似合法实则暗中重定向受害者的欺诈
阅读全文攻击者利用GitHub Pages向macOS用户大规模投放窃密木马
网络安全研究人员发现一起针对 macOS 用户的复杂网络攻击活动,攻击者利用 GitHub Pages 分发臭名昭著的 Atomic 窃密木马。该攻击团伙通过搜索引擎优化(SEO)技术,使恶意代码仓库
阅读全文首款集成GPT-4的恶意软件MalTerminal,可动态生成勒索软件与反向Shell
网络安全研究人员近日发现迄今为止已知最早集成大语言模型(LLM)能力的恶意软件样本。SentinelOne旗下SentinelLABS研究团队将其命名为MalTerminal,相关发现已在LABSco
阅读全文TP-Link路由器零日漏洞遭利用,攻击者成功绕过ASLR防护机制
TP-Link路由器近日曝出编号为CVE-2025-9961的严重零日远程代码执行(RCE)漏洞。安全研究机构ByteRay已发布概念验证(PoC)利用代码,证实攻击者可通过该漏洞绕过地址空间布局随机
阅读全文微软Entra ID漏洞暴露云身份信任模型缺陷
安全研究人员近日披露微软Entra ID(原Azure Active Directory)存在一个高危漏洞(CVE-2025-55241),攻击者可借此伪装成任意租户中的任何用户(包括全局管理员),且
阅读全文FreeBuf周报 | 新供应链攻击波及40余npm软件包;苹果紧急修复ImageIO零日漏洞
各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、一周好文,保证大家不错过本周的每一个重点!⛓️💥新供应链攻击波及npm仓库,40余个软件包遭篡改🍎苹果紧急
阅读全文新型iOS视频注入工具可绕过越狱iPhone的生物识别验证
Part01新型攻击工具浮出水面iProov威胁情报团队发现了一款针对越狱iOS设备的新型复杂攻击工具,标志着数字身份欺诈能力出现重大升级。该工具专门设计用于对iOS 15及更高版本设备实施高级视频注
阅读全文针对ChatGPT的"零点击"数据窃取攻击,波及Gmail等多应用
Part01ShadowLeak攻击技术分析Radware安全研究人员发现了一种针对ChatGPT的服务器端数据窃取攻击,命名为ShadowLeak。专家在ChatGPT的Deep Research(
阅读全文从"沙虫"自复制恶意软件发起的npm供应链大攻击中汲取的教训
2025年9月,JavaScript生态系统遭遇了有史以来最复杂、破坏性最强的供应链攻击之一。代号为"沙虫"(Shai-Hulud)的新型自复制蠕虫感染了超过477个npm软件包,成为npm注册表历史
阅读全文