FreeBuf周报 | 网络安全法完成修改;会计巨头安永4TB文件在微软Azure平台遭公开
各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、一周好文,保证大家不错过本周的每一个重点!📄网络安全法完成修改,2026年1月1日起施行🧮会计巨头安永4TB
阅读全文macOS全新安全防护层:先于黑客发现管理员配置失误
某设计公司正在MacBook Pro上编辑新宣传视频。创意总监打开某协作应用时,该应用悄然请求麦克风和摄像头权限。macOS本应标记此类行为,但此次安全检查存在疏漏,应用最终仍获取了访问权限。同一办公
阅读全文OpenAI发布基于GPT-5的自主漏洞修复AI Agent
OpenAI集团正式推出Aardvark,这是一款基于GPT-5技术的自主人工智能Agent,专为实时识别、验证并协助修复软件漏洞而设计。这款被OpenAI称为"AI与安全研究领域突破性成果"的Aar
阅读全文Blink渲染引擎漏洞可在60秒内导致Chromium内核浏览器崩溃,PoC已公开
安全研究人员警告称,Chromium渲染引擎中存在一个漏洞(被命名为Brash),攻击者利用该漏洞可在数秒内导致Chrome、Microsoft Edge等九款浏览器崩溃。在谷歌连续两个月无视漏洞报告
阅读全文FreeBuf热门电台精选集第十四期
📢本期热门电台抢先看:1.大家怎么看待零信任网络安全架构?🌐2.聊聊企业内部最容易出现的权限滥用问题🔑3.聊聊企业内部的权限和账号管理🔐————————————『FreeBuf电台』——网安人的“小绿
阅读全文RediShell RCE漏洞导致全球8500多个Redis实例面临代码执行攻击风险
2025年10月初,网络安全领域面临一项重大威胁——Redis的Lua脚本引擎中存在严重的释放后重用漏洞RediShell被公开披露。该漏洞被Wiz研究人员命名为"RediShell"(CVE-202
阅读全文会计巨头安永4TB SQL Server数据库文件在微软Azure平台遭公开
近日,全球会计巨头安永(Ernst & Young)一份容量高达4TB的SQL Server备份文件被发现公开暴露在微软Azure云平台上。Part01暴露发现过程网络安全公司Neo Security
阅读全文一次到手 2T 网安学习材料+60个靶场,学完可内推就业
都说学网安在 B 站找免费公开课就行,可学完总觉得没透;想接着学吧,只能找到零散资料,连个归类都没有;好不容易找个付费圈,又只有文字,感觉学网安最好还是配上直观的视频;想练挖洞不知道咋开始,报告也不会
阅读全文针对PHP服务器与物联网设备的自动化僵尸网络攻击激增
网络安全研究人员发现,Mirai、Gafgyt和Mozi等僵尸网络近期针对PHP服务器、物联网设备及云网关的自动化攻击显著增加。Qualys威胁研究部门(TRU)向The Hacker News提供的
阅读全文微软全球服务中断,Azure、365、Xbox等多平台受影响
2025年10月29日,微软遭遇大规模基础设施故障,导致全球多项服务瘫痪,企业和个人用户均受到影响。事件起因是微软云网络中的配置变更出错,进而引发关键平台的连锁故障。微软发布状态更新称,其Azure
阅读全文FOFA 百万次免费搜!Cake_v1.1 免配代理,全资产收集更全面
做资产收集,“全不全” 直接影响后续工作成效。之前 Cake_v1.0 在 Windows 环境、无 API 密钥配置下,查同一个目标的子域名,数量就远超同类工具,能帮大家找到更多容易被忽略的资产:点
阅读全文Ubuntu内核曝严重UAF漏洞,可致攻击者获取Root权限
Ubuntu Linux内核近日曝出严重安全漏洞,允许本地攻击者提升权限,并可能获取受影响系统的根访问权限。该漏洞在TyphoonPWN 2025安全会议上披露,源于af_unix子系统中的引用计数失
阅读全文Docker Compose曝高危漏洞,执行只读命令即可覆写任意文件
Docker容器编排工具Compose近日披露一个高危路径遍历漏洞(CVE-2025-62725,CVSS v4评分8.9)。该漏洞影响Docker Desktop用户、独立Compose二进制文件用
阅读全文新型零点击攻击,通过主流AI Agent利用MCP静默窃取数据
一种名为"Shadow Escape"的新型零点击攻击利用模型上下文协议(MCP),通过ChatGPT、Claude和Gemini等流行AI Agent静默窃取敏感数据。Operant公司发现的这一漏
阅读全文60多国签署《联合国打击网络犯罪公约》
全球首部旨在预防和打击网络犯罪的国际公约《联合国打击网络犯罪公约》近日在越南河内开放签署,并将在纽约联合国总部持续接受签署至2026年12月31日。《联合国打击网络犯罪公约》于2024年12月经联合国
阅读全文腾讯云、腾讯研究院、Gartner联合发布《企业级智能体产业落地研究报告》,筑牢智能体应用安全基座「附下载链接」
近日,腾讯云、腾讯研究院联合国际权威研究机构Gartner,共同发布《企业级智能体产业落地研究报告》。报告系统提出智能体落地场景评估方法、深入剖析落地挑战,并结合腾讯云安全的核心能力,为企业构建“高可
阅读全文OpenAI Atlas浏览器漏洞允许向ChatGPT注入恶意代码
OpenAI新推出的ChatGPT Atlas浏览器存在严重漏洞,攻击者可借此向ChatGPT内存注入恶意指令,并在用户系统上执行远程代码。Part01漏洞概况网络安全公司LayerX发现,该漏洞利用
阅读全文Apache Tomcat曝三大安全漏洞,最严重可致远程代码执行
Apache软件基金会已发布多个安全补丁,修复影响Tomcat 9、10和11版本的三个新披露漏洞——CVE-2025-55752、CVE-2025-55754和CVE-2025-61795。其中最严
阅读全文微软Copilot被用于窃取OAuth令牌,AI Agent成为攻击者帮凶
一种名为CoPhish的复杂钓鱼技术正利用Microsoft Copilot Studio诱骗用户授予攻击者对其Microsoft Entra ID账户的未授权访问权限。Datadog安全实验室披露,
阅读全文阿里云安全携手月之暗面共筑AI基础设施“免疫系统”
有人在用AI重塑生产力,也有人在用AI破解安全防线。当算力成为“新石油”,GPU成为“兵家必争”,一场围绕AI基础设施的攻防战,正从底层资源蔓延至模型心智。在本期《安全记》栏目中,阿里云智能集团云安全
阅读全文朝鲜攻击者组织Lazarus针对无人机行业发起窃密攻击
朝鲜国家背景的黑客组织Lazarus(APT38)近期发起代号"DreamJob"的网络间谍行动,专门针对欧洲无人机技术研发企业。自2025年3月下旬起,攻击者已成功入侵中欧和东南欧地区三家国防相关机
阅读全文Pwn2Own大赛:黑客利用73个0Day漏洞斩获102万美元奖金
近日,Pwn2Own爱尔兰站2025赛事圆满落幕。研究人员通过在不同设备中发现73个独特的0Day漏洞展现了他们的技术实力。本次由Zero Day Initiative(ZDI)主办的比赛共发放高达1
阅读全文OpenAI首款AI浏览器Atlas上线仅一周即被恶意提示词攻破
Part01漏洞机制解析OpenAI新推出的ChatGPT Atlas浏览器旨在融合AI助手与网页导航功能,但目前存在严重安全缺陷:攻击者可将恶意指令伪装成无害URL实现系统越狱。该漏洞利用浏览器的多
阅读全文70余万台BIND 9实例受缓存投毒漏洞影响,PoC已公开(CVE-2025-40778)
BIND 9 解析器曝出高危漏洞(CVE-2025-40778),攻击者可利用该漏洞实施缓存投毒攻击,将互联网流量重定向至恶意网站。互联网扫描公司 Censys 发现,全球超过 706,000 个暴露
阅读全文黑客正积极利用Windows Server Update Services远程代码执行漏洞
美国网络安全与基础设施安全局(CISA)向全球组织发出警告,微软Windows Server Update Services(WSUS)中存在一个正被积极利用的关键远程代码执行(RCE)漏洞。该漏洞编
阅读全文AI浪潮下,初级程序员的出路在哪里?
AI敲代码的速度和精度已经远超人类新手,自动化工具不断替代重复劳动。根据行业报告,初级前端、基础测试、部分CRUD后端开发等岗位的需求正在明显收缩。技术迭代本是常态,但这一次的AI浪潮,来得比想象中更
阅读全文FreeBuf周报 | 无印良品因遭勒索攻击暂停线上销售;Linux-PAM漏洞PoC利用代码公开
各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、一周好文,保证大家不错过本周的每一个重点!🚢无印良品因物流合作伙伴遭勒索攻击暂停线上销售💻Linux-PAM
阅读全文三星Galaxy S25的0Day漏洞遭利用,可远程操控摄像头并追踪定位
在Pwn2Own Ireland 2025黑客大赛上,Interrupt Labs网络安全研究员Ben R.和Georgi G.通过成功利用三星Galaxy S25中的0Day漏洞,展示了令人瞩目的研
阅读全文赠书福利 | 《云攻击向量:构建有效的网络防御策略》免费送
关注我们丨文末赠书随着企业纷纷将核心业务与数据迁移至云端,云安全这一隐形的“达摩克利斯之剑”也悄然悬于头顶,成为制约企业云战略深入发展的关键因素。云环境的开放性、虚拟化与动态性等特点,也使得云安全面临
阅读全文