新型HybridPetya恶意软件利用UEFI漏洞绕过老旧系统的安全启动机制

Part01新型勒索软件浮出水面2025年7月下旬，VirusTotal平台上出现了一系列文件名与臭名昭著的Petya和NotPetya攻击相关的勒索软件样本。与前辈不同，这款被ESET分析师命名为H

脚本小子必看，4 款漏洞扫描工具测评

1. Scan-XScan-X = MCP 工具链智能调度 + Web 全漏洞 AI 检测 + 低代码自定义 + 标准化报告输出适合谁用企业安全员刚入门的安全小白（要测官网 / 后台系统的）核心功能点

FreeBuf热门电台精选集第十三期

📢本期热门电台抢先看：1.如何防止用户用脚本手段进行暴力请求💻2.想问问大家做安全运营是不是每天都要给客户出日报？🛡️3.人才断层危机：网络安全行业裁员潮过后，‘没人可招’成为新隐患🔐————————

英特尔与AMD最新CPU隔离缺陷漏洞可使虚拟机突破隔离

一种名为VMSCAPE的新型推测执行攻击技术可使恶意虚拟机（VM）突破安全边界，直接从宿主机系统窃取加密密钥等敏感数据。该漏洞编号为CVE-2025-40300，影响包括AMD Zen（1至5代）和英

PyInstaller工具漏洞预警，可致攻击者执行任意Python代码

Part01漏洞概况PyInstaller项目近日发布补丁，修复了一个影响6.0.0之前版本打包应用程序的本地权限提升漏洞（CVE-2025-59042，CVSS评分7.0）。该漏洞可能导致攻击者在P

iPhone17史上最重要安全升级：MIE技术抵御各类内存破坏漏洞

苹果安全工程与架构团队（SEAR）近日发布了内存完整性强制保护技术（Memory Integrity Enforcement，MIE），这项持续运行的硬件辅助内存安全技术旨在全面阻断iPhone设备上

中央网信办副主任、国家网信办副主任王京涛：加快推进国家网络安全体系和能力现代化 以高水平安全保障高质量发展

党的十八大以来，习近平总书记高度重视网络安全工作，站在党和国家事业发展全局的战略高度，就网络安全工作提出一系列新思想新观点新论断，成为习近平总书记关于网络强国的重要思想的重要内容。2014年，习近平总

微软Office两大高危漏洞可导致恶意代码执行

微软已针对Microsoft Office中的两个高危漏洞发布补丁，攻击者可利用这些漏洞在受影响系统上执行恶意代码。这两个编号为CVE-2025-54910和CVE-2025-54906的漏洞于202

Google Drive漏洞可致云端文件遭全盘访问

Windows版Google Drive桌面应用近日曝出安全漏洞，当多用户共用设备时，已登录用户无需凭证即可完全访问其他用户的云端文件。该漏洞源于应用程序处理缓存数据时的访问控制机制缺陷，对Googl

朝鲜黑客组织扩充攻击武器库：新增Rustonotto后门及两大窃密程序

Zscaler威胁研究团队ThreatLabz最新披露了朝鲜背景黑客组织APT37（又称ScarCruft、Ruby Sleet或Velvet Chollima）的攻击细节，该组织持续采用现代编程语言

摇人！冲刺双十一保卫战10W赏金，不限经验组队！

阿里双 11 安全保卫战已经拉开序幕，18 家 SRC 组成安全联盟，从9月8日到 10 月10日，司令称号还可获得5万元现金奖励！群里有不少师傅参与了这场保卫战，已经提交了漏洞坐等收获赏金，同时也收

俄罗斯APT28组织新型Outlook后门GONEPOSTAL：利用电子邮件构建隐蔽C2通道

网络安全公司Kroll近日发现俄罗斯APT28（高级持续威胁28组，又称Fancy Bear）发起的新型间谍活动，该组织使用名为GONEPOSTAL的定制Outlook宏后门程序。这款恶意软件通过DL

Chrome紧急修复两大高危远程代码执行漏洞

Google已针对Windows、Mac和Linux平台的Chrome浏览器发布紧急安全更新，修复了一个可能导致攻击者远程执行任意代码的高危漏洞。强烈建议用户立即更新浏览器以防范潜在威胁。Part01

直击黑灰产攻防最新趋势，FightFraudCon2025火热报名中

互联网黑灰产攻防正在进入新的拐点：AI 欺诈量产化、NFC远程盗刷洗钱、共享设备数据泄露……这些攻击模式正在快速走向专业化和自动化，并以产业链形式渗透到各类业务场景。9月17日，北京，FightFra

一键获取上万份资料和漏洞情报的资源情报网站

✦•✦这个聚合信息平台能做什么你能想到的——学习教程、资料、漏洞、资产测绘、备案查询、工具、福利……这个VIP网站全都准备好了。● 13000+ 网络安全学习资料、公开课视频教程● 10000+ 安全

npm史上最大供应链攻击：每周下载量超20亿的软件包遭大规模攻击劫持

网络安全公司Aikido Security披露了npm生态有史以来最大规模的供应链攻击事件。攻击者通过钓鱼邮件入侵长期受信任的维护者qix的账户，篡改了包括chalk、debug和ansi-style

苹果用户速更新！macOS存严重漏洞，用户隐私数据面临泄露风险

Part01漏洞概况近日，macOS系统发现一个CVSS评分高达 9.8 的高危漏洞，该漏洞可能允许应用程序绕过系统保护机制，非法访问受保护的用户数据。该漏洞编号为 CVE-2025-24204，目前

新型APT组织"嘈杂熊"针对国家能源部门发起网络间谍活动

Seqrite实验室APT研究团队近日发布了一份深度分析报告，披露了一个自2025年4月起活跃的新型威胁组织"嘈杂熊"(Noisy Bear)。该组织主要针对哈萨克斯坦石油天然气行业，攻击手法结合了鱼

cJSON库存在CVSS 9.8高危JSON解析漏洞

Part01漏洞概述安全研究员Salah Chafai（漏洞利用开发与安全专家）近日披露，轻量级C语言JSON解析库cJSON存在一个高危漏洞（编号CVE-2025-57052，CVSS评分9.8）。

每日5万封钓鱼邮件：亚马逊云服务漏洞助长大规模网络钓鱼活动

Wiz研究团队近日披露了2025年5月一起利用亚马逊简单邮件服务（Amazon Simple Email Service，简称SES）漏洞的大规模钓鱼攻击活动细节。攻击者通过窃取的AWS密钥实施攻击，

Apache Jackrabbit最新漏洞可导致JNDI注入与远程代码执行

Part01漏洞概况Apache软件基金会近日披露了Apache Jackrabbit Core和JCR Commons组件中的一个重要漏洞（编号CVE-2025-58782）。该漏洞影响1.0.0至

迄今最大供应链入侵事件：GhostAction攻击窃取GitHub中3325个机密凭证

Part01攻击事件概述2025年9月2日，GitHub用户"Grommash9"向FastUUID项目提交了一个标记为"Github Actions Security"的工作流文件。该文件看似常规自

一周网安优质PDF资源推荐 | FreeBuf知识大陆

思爱普SAP S/4HANA爆高危漏洞，可致系统被完全控制

Part01漏洞概况网络安全专家警告称，SAP S/4HANA 软件中存在一个高危命令注入漏洞（追踪编号 CVE-2025-42957，CVSS 评分 9.9），目前已被攻击者活跃利用。攻击者可利用该

安全服务市场，彻底变天了！

安服市场，变天了！怎么说？!过去几年，在安服市场大蛋糕里，托管安全服务一直非常火。但这块市场，其实“暗流汹涌”——不信你看看IDC发布的“中国托管安全服务市场”研究报告，有几点变化，很值得琢磨。①先看

安全实验室揭露朝鲜黑客组织如何滥用威胁情报平台

SentinelLABS情报团队与Validin合作发布深度分析报告，揭露了朝鲜背景的黑客组织如何利用网络威胁情报（CTI）平台监控自身暴露情况、侦察新基础设施并优化攻击行动。研究揭示了与Lazaru

FreeBuf周报 | 史上最大规模DDoS攻击；1.1.1.1 DNS服务误发TLS证书事件

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！🛡️史上最大规模DDoS攻击：Cloudflare成功防御11.5

红队工具再度升级！AI 解读 JS，挖出隐藏资产

对于安全研究员与红队成员而言，好用可靠的工具能让你更专注在攻防本身，而不是浪费在重复操作上。那些能够自动化处理繁琐任务、智能扩展攻击面、清晰管理测试流程的工具，能直接将技术能力转化为成果。现在，「安全

模型命名空间复用漏洞可劫持谷歌微软平台AI模型

Part01漏洞概述一种名为"模型命名空间复用（Model Namespace Reuse）"的新型安全漏洞被发现，攻击者可利用该漏洞劫持谷歌Vertex AI和微软Azure AI Foundry等

美国悬赏千万美元通缉涉嫌攻击关键基础设施的俄罗斯FSB官员

Part01锁定全球500余家能源企业的网络攻击美国国务院宣布悬赏最高1000万美元，征集关于俄罗斯联邦安全局（FSB）官员帕维尔·亚历山德罗维奇·阿库洛夫、米哈伊尔·米哈伊洛维奇·加夫里洛夫和马拉特