桌面应用程序漏洞应急响应流程建立；软件静默升级的安全与合规风险探讨丨FB甲方群话题讨论

各位 Buffer 晚上好，FreeBuf 甲方群话题讨论第259期来了！FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论，Kiki 群助手每周整理精华、干货讨论内容，为您提供

LangChainGo严重漏洞威胁LLM应用安全：CVE-2025-9556

Part01漏洞概述随着大语言模型（LLM）应用的兴起，LangChain及其衍生框架已成为全球开发者的基础工具。但根据CERT/CC最新漏洞公告，LangChain的Go语言实现版本LangChai

揭秘BaoLoader：一个恶意软件家族如何滥用信任机制长达七年之久

网络安全公司Expel的研究人员揭露了一个长期滥用软件分发信任模型的恶意软件活动。分析显示，被追踪为BaoLoader的恶意软件（此前通过AppSuite-PDF和PDF Editor等渠道传播）背后

ChatGPT新增MCP工具支持存在安全隐患，攻击者可窃取邮件隐私数据

Part01功能集成带来的安全隐患ChatGPT最新推出的Model Context Protocol（MCP，模型上下文协议）工具支持功能存在严重安全漏洞，攻击者可利用该功能从用户邮箱窃取隐私信息。

一周网安优质PDF资源推荐 | FreeBuf知识大陆

SaaS史上最严重供应链攻击：Salesloft Drift数据泄露事件深度剖析

2025年8月发生的Salesloft Drift数据泄露事件堪称SaaS史上最严重的供应链攻击之一，展示了单一受损集成如何引发大规模组织数据暴露。威胁组织UNC6395通过利用OAuth令牌漏洞，获

整合Kali Linux与DeepSeek实现自动化攻击，AI渗透工具Villager下载量破万

网络安全研究机构Straiker人工智能研究团队（STAR）发现，新型AI驱动的渗透测试框架Villager正将Kali Linux工具集与DeepSeek AI模型深度融合，实现网络攻击工作流的全自

FreeBuf周报 | 微软疑似出现重大网络安全过失；iPhone17史上最重要安全升级

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！🪟微软疑似出现重大网络安全过失：美国参议员指控微软“养寇自重”📱i

新型HybridPetya恶意软件利用UEFI漏洞绕过老旧系统的安全启动机制

Part01新型勒索软件浮出水面2025年7月下旬，VirusTotal平台上出现了一系列文件名与臭名昭著的Petya和NotPetya攻击相关的勒索软件样本。与前辈不同，这款被ESET分析师命名为H

脚本小子必看，4 款漏洞扫描工具测评

1. Scan-XScan-X = MCP 工具链智能调度 + Web 全漏洞 AI 检测 + 低代码自定义 + 标准化报告输出适合谁用企业安全员刚入门的安全小白（要测官网 / 后台系统的）核心功能点

FreeBuf热门电台精选集第十三期

📢本期热门电台抢先看：1.如何防止用户用脚本手段进行暴力请求💻2.想问问大家做安全运营是不是每天都要给客户出日报？🛡️3.人才断层危机：网络安全行业裁员潮过后，‘没人可招’成为新隐患🔐————————

英特尔与AMD最新CPU隔离缺陷漏洞可使虚拟机突破隔离

一种名为VMSCAPE的新型推测执行攻击技术可使恶意虚拟机（VM）突破安全边界，直接从宿主机系统窃取加密密钥等敏感数据。该漏洞编号为CVE-2025-40300，影响包括AMD Zen（1至5代）和英

PyInstaller工具漏洞预警，可致攻击者执行任意Python代码

Part01漏洞概况PyInstaller项目近日发布补丁，修复了一个影响6.0.0之前版本打包应用程序的本地权限提升漏洞（CVE-2025-59042，CVSS评分7.0）。该漏洞可能导致攻击者在P

iPhone17史上最重要安全升级：MIE技术抵御各类内存破坏漏洞

苹果安全工程与架构团队（SEAR）近日发布了内存完整性强制保护技术（Memory Integrity Enforcement，MIE），这项持续运行的硬件辅助内存安全技术旨在全面阻断iPhone设备上

中央网信办副主任、国家网信办副主任王京涛：加快推进国家网络安全体系和能力现代化 以高水平安全保障高质量发展

党的十八大以来，习近平总书记高度重视网络安全工作，站在党和国家事业发展全局的战略高度，就网络安全工作提出一系列新思想新观点新论断，成为习近平总书记关于网络强国的重要思想的重要内容。2014年，习近平总

微软Office两大高危漏洞可导致恶意代码执行

微软已针对Microsoft Office中的两个高危漏洞发布补丁，攻击者可利用这些漏洞在受影响系统上执行恶意代码。这两个编号为CVE-2025-54910和CVE-2025-54906的漏洞于202

Google Drive漏洞可致云端文件遭全盘访问

Windows版Google Drive桌面应用近日曝出安全漏洞，当多用户共用设备时，已登录用户无需凭证即可完全访问其他用户的云端文件。该漏洞源于应用程序处理缓存数据时的访问控制机制缺陷，对Googl

朝鲜黑客组织扩充攻击武器库：新增Rustonotto后门及两大窃密程序

Zscaler威胁研究团队ThreatLabz最新披露了朝鲜背景黑客组织APT37（又称ScarCruft、Ruby Sleet或Velvet Chollima）的攻击细节，该组织持续采用现代编程语言

摇人！冲刺双十一保卫战10W赏金，不限经验组队！

阿里双 11 安全保卫战已经拉开序幕，18 家 SRC 组成安全联盟，从9月8日到 10 月10日，司令称号还可获得5万元现金奖励！群里有不少师傅参与了这场保卫战，已经提交了漏洞坐等收获赏金，同时也收

俄罗斯APT28组织新型Outlook后门GONEPOSTAL：利用电子邮件构建隐蔽C2通道

网络安全公司Kroll近日发现俄罗斯APT28（高级持续威胁28组，又称Fancy Bear）发起的新型间谍活动，该组织使用名为GONEPOSTAL的定制Outlook宏后门程序。这款恶意软件通过DL

Chrome紧急修复两大高危远程代码执行漏洞

Google已针对Windows、Mac和Linux平台的Chrome浏览器发布紧急安全更新，修复了一个可能导致攻击者远程执行任意代码的高危漏洞。强烈建议用户立即更新浏览器以防范潜在威胁。Part01

直击黑灰产攻防最新趋势，FightFraudCon2025火热报名中

互联网黑灰产攻防正在进入新的拐点：AI 欺诈量产化、NFC远程盗刷洗钱、共享设备数据泄露……这些攻击模式正在快速走向专业化和自动化，并以产业链形式渗透到各类业务场景。9月17日，北京，FightFra

一键获取上万份资料和漏洞情报的资源情报网站

✦•✦这个聚合信息平台能做什么你能想到的——学习教程、资料、漏洞、资产测绘、备案查询、工具、福利……这个VIP网站全都准备好了。● 13000+ 网络安全学习资料、公开课视频教程● 10000+ 安全

npm史上最大供应链攻击：每周下载量超20亿的软件包遭大规模攻击劫持

网络安全公司Aikido Security披露了npm生态有史以来最大规模的供应链攻击事件。攻击者通过钓鱼邮件入侵长期受信任的维护者qix的账户，篡改了包括chalk、debug和ansi-style

苹果用户速更新！macOS存严重漏洞，用户隐私数据面临泄露风险

Part01漏洞概况近日，macOS系统发现一个CVSS评分高达 9.8 的高危漏洞，该漏洞可能允许应用程序绕过系统保护机制，非法访问受保护的用户数据。该漏洞编号为 CVE-2025-24204，目前

新型APT组织"嘈杂熊"针对国家能源部门发起网络间谍活动

Seqrite实验室APT研究团队近日发布了一份深度分析报告，披露了一个自2025年4月起活跃的新型威胁组织"嘈杂熊"(Noisy Bear)。该组织主要针对哈萨克斯坦石油天然气行业，攻击手法结合了鱼

cJSON库存在CVSS 9.8高危JSON解析漏洞

Part01漏洞概述安全研究员Salah Chafai（漏洞利用开发与安全专家）近日披露，轻量级C语言JSON解析库cJSON存在一个高危漏洞（编号CVE-2025-57052，CVSS评分9.8）。

每日5万封钓鱼邮件：亚马逊云服务漏洞助长大规模网络钓鱼活动

Wiz研究团队近日披露了2025年5月一起利用亚马逊简单邮件服务（Amazon Simple Email Service，简称SES）漏洞的大规模钓鱼攻击活动细节。攻击者通过窃取的AWS密钥实施攻击，

Apache Jackrabbit最新漏洞可导致JNDI注入与远程代码执行

Part01漏洞概况Apache软件基金会近日披露了Apache Jackrabbit Core和JCR Commons组件中的一个重要漏洞（编号CVE-2025-58782）。该漏洞影响1.0.0至

迄今最大供应链入侵事件：GhostAction攻击窃取GitHub中3325个机密凭证

Part01攻击事件概述2025年9月2日，GitHub用户"Grommash9"向FastUUID项目提交了一个标记为"Github Actions Security"的工作流文件。该文件看似常规自