苹果紧急修复ImageIO零日漏洞，攻击事件已获实证

苹果公司近日发布两项系统更新，用于修复ImageIO框架中一个可能已被用于定向攻击的零日漏洞（zero-day vulnerability）。编号为CVE-2025-43300的漏洞在iOS 16.7

Chrome紧急更新：V8引擎零日漏洞已被野外利用

Google已针对Windows和Mac系统发布140.0.7339.185/.186版本，Linux系统发布140.0.7339.185版本的稳定通道更新，修复了四个高危安全漏洞。其中最值得关注的是

CrowdStrike推出AI驱动新工具，聚焦补丁管理与威胁情报短板

网络安全公司CrowdStrike Holdings Inc.在今日举行的Fal.Con 2025大会上发布了两款新产品：基于IT风险的Falcon补丁管理（Falcon for IT Risk-ba

新供应链攻击波及npm仓库，40余个软件包遭篡改

Linux内核的KSMBD（SMB Direct）子系统中发现一个拒绝服务漏洞，已在开源社区引发广泛关注。该漏洞编号为CVE-2025-38501，远程攻击者无需认证即可通过利用内核处理半开TCP会话

2025外滩大会：AI驱动之下，探索网络安全的未来边界

9月10日至13日，2025 Inclusion·外滩大会在上海举行，大会期间“AI驱动的变革与挑战：重构网络安全的未来边界”见解论坛同步举办。 本次论坛由上海市互联网业联合会网络和数据安全委员会、中

Linux内核KSMBD子系统漏洞可致远程攻击者耗尽服务器资源

Linux内核的KSMBD（SMB Direct）子系统中发现一个拒绝服务漏洞，已在开源社区引发广泛关注。该漏洞编号为CVE-2025-38501，远程攻击者无需认证即可通过利用内核处理半开TCP会话

GitHub为SSH访问增加抗量子加密保护

Part01核心变更内容GitHub宣布将为SSH连接引入抗量子密码学（post-quantum cryptography）保护，这一举措表明该公司正在为当前加密技术可能失效的未来做准备。平台已推出一

朝鲜黑客组织Kimsuky利用ChatGPT伪造军人证件实施新型攻击

网络安全公司Genians Security Center（GSC）发出警告，朝鲜臭名昭著的黑客组织Kimsuky正在使用ChatGPT等人工智能（AI）工具生成的伪造军人证件开展新型钓鱼攻击。这标志

开源AI红队工具"Red AI Range"助力发现、分析与缓解AI系统漏洞

开源AI红队平台Red AI Range（RAR）正在改变安全专业人员评估和强化AI系统的方式。该平台通过模拟真实攻击场景，利用容器化架构和自动化工具，简化了AI特有漏洞的发现、分析和缓解流程。Par

基于历史漏洞的零点击Linux内核KSMBD远程代码执行攻击

安全研究人员发现了一种基于历史漏洞的零点击Linux内核KSMBD远程代码执行攻击方式，能够在运行内核态SMB3守护进程ksmbd的Linux 6.1.45（已停止维护两年）系统上实现远程代码执行。通

汉堡王滥用DMCA下架安全漏洞报告引发争议

汉堡王近日援引美国《数字千年版权法案》（DMCA），强制下架了一篇揭露其得来速"助手"系统严重漏洞的安全研究报告。此举引发关于企业滥用版权法压制正当网络安全披露的广泛争议。Part01核心事件要点汉堡

新型CPU漏洞威胁云计算安全：VMScape（CVE-2025-40300）

Part01漏洞发现背景苏黎世联邦理工学院（ETH Zurich）安全研究人员最新研究表明，攻击者可通过名为VMScape（CVE-2025-40300）的技术突破虚拟化边界。该技术利用英特尔CPU的

桌面应用程序漏洞应急响应流程建立；软件静默升级的安全与合规风险探讨丨FB甲方群话题讨论

各位 Buffer 晚上好，FreeBuf 甲方群话题讨论第259期来了！FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论，Kiki 群助手每周整理精华、干货讨论内容，为您提供

LangChainGo严重漏洞威胁LLM应用安全：CVE-2025-9556

Part01漏洞概述随着大语言模型（LLM）应用的兴起，LangChain及其衍生框架已成为全球开发者的基础工具。但根据CERT/CC最新漏洞公告，LangChain的Go语言实现版本LangChai

揭秘BaoLoader：一个恶意软件家族如何滥用信任机制长达七年之久

网络安全公司Expel的研究人员揭露了一个长期滥用软件分发信任模型的恶意软件活动。分析显示，被追踪为BaoLoader的恶意软件（此前通过AppSuite-PDF和PDF Editor等渠道传播）背后

ChatGPT新增MCP工具支持存在安全隐患，攻击者可窃取邮件隐私数据

Part01功能集成带来的安全隐患ChatGPT最新推出的Model Context Protocol（MCP，模型上下文协议）工具支持功能存在严重安全漏洞，攻击者可利用该功能从用户邮箱窃取隐私信息。

一周网安优质PDF资源推荐 | FreeBuf知识大陆

SaaS史上最严重供应链攻击：Salesloft Drift数据泄露事件深度剖析

2025年8月发生的Salesloft Drift数据泄露事件堪称SaaS史上最严重的供应链攻击之一，展示了单一受损集成如何引发大规模组织数据暴露。威胁组织UNC6395通过利用OAuth令牌漏洞，获

整合Kali Linux与DeepSeek实现自动化攻击，AI渗透工具Villager下载量破万

网络安全研究机构Straiker人工智能研究团队（STAR）发现，新型AI驱动的渗透测试框架Villager正将Kali Linux工具集与DeepSeek AI模型深度融合，实现网络攻击工作流的全自

FreeBuf周报 | 微软疑似出现重大网络安全过失；iPhone17史上最重要安全升级

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！🪟微软疑似出现重大网络安全过失：美国参议员指控微软“养寇自重”📱i

新型HybridPetya恶意软件利用UEFI漏洞绕过老旧系统的安全启动机制

Part01新型勒索软件浮出水面2025年7月下旬，VirusTotal平台上出现了一系列文件名与臭名昭著的Petya和NotPetya攻击相关的勒索软件样本。与前辈不同，这款被ESET分析师命名为H

脚本小子必看，4 款漏洞扫描工具测评

1. Scan-XScan-X = MCP 工具链智能调度 + Web 全漏洞 AI 检测 + 低代码自定义 + 标准化报告输出适合谁用企业安全员刚入门的安全小白（要测官网 / 后台系统的）核心功能点

FreeBuf热门电台精选集第十三期

📢本期热门电台抢先看：1.如何防止用户用脚本手段进行暴力请求💻2.想问问大家做安全运营是不是每天都要给客户出日报？🛡️3.人才断层危机：网络安全行业裁员潮过后，‘没人可招’成为新隐患🔐————————

英特尔与AMD最新CPU隔离缺陷漏洞可使虚拟机突破隔离

一种名为VMSCAPE的新型推测执行攻击技术可使恶意虚拟机（VM）突破安全边界，直接从宿主机系统窃取加密密钥等敏感数据。该漏洞编号为CVE-2025-40300，影响包括AMD Zen（1至5代）和英

PyInstaller工具漏洞预警，可致攻击者执行任意Python代码

Part01漏洞概况PyInstaller项目近日发布补丁，修复了一个影响6.0.0之前版本打包应用程序的本地权限提升漏洞（CVE-2025-59042，CVSS评分7.0）。该漏洞可能导致攻击者在P

iPhone17史上最重要安全升级：MIE技术抵御各类内存破坏漏洞

苹果安全工程与架构团队（SEAR）近日发布了内存完整性强制保护技术（Memory Integrity Enforcement，MIE），这项持续运行的硬件辅助内存安全技术旨在全面阻断iPhone设备上

中央网信办副主任、国家网信办副主任王京涛：加快推进国家网络安全体系和能力现代化 以高水平安全保障高质量发展

党的十八大以来，习近平总书记高度重视网络安全工作，站在党和国家事业发展全局的战略高度，就网络安全工作提出一系列新思想新观点新论断，成为习近平总书记关于网络强国的重要思想的重要内容。2014年，习近平总

微软Office两大高危漏洞可导致恶意代码执行

微软已针对Microsoft Office中的两个高危漏洞发布补丁，攻击者可利用这些漏洞在受影响系统上执行恶意代码。这两个编号为CVE-2025-54910和CVE-2025-54906的漏洞于202

Google Drive漏洞可致云端文件遭全盘访问

Windows版Google Drive桌面应用近日曝出安全漏洞，当多用户共用设备时，已登录用户无需凭证即可完全访问其他用户的云端文件。该漏洞源于应用程序处理缓存数据时的访问控制机制缺陷，对Googl

朝鲜黑客组织扩充攻击武器库：新增Rustonotto后门及两大窃密程序

Zscaler威胁研究团队ThreatLabz最新披露了朝鲜背景黑客组织APT37（又称ScarCruft、Ruby Sleet或Velvet Chollima）的攻击细节，该组织持续采用现代编程语言