微软Office两大高危漏洞，可导致恶意代码执行 微软针对Microsoft Office中的两个高危漏洞发布补丁，编号为CVE-2025-54910（严重）和CVE-2025-54906（重要）。前者通过预览窗格本地执行代码，后者需用户打开恶意文件。建议立即安装补丁以降低风险。... 2025-9-10 00:22:23 | 阅读: 1 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 漏洞 攻击 攻击者 microsoft

Windows BitLocker两大漏洞允许攻击者提升权限 微软修复影响Windows BitLocker的两处重大权限提升漏洞（CVE-2025-54911和CVE-2025-54912），允许攻击者获取SYSTEM权限。已在9月补丁更新中修复，建议用户立即安装。... 2025-9-9 22:24:18 | 阅读: 0 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 漏洞 攻击 攻击者 bitlocker

Chrome紧急修复两大高危远程代码执行漏洞 Google发布Chrome紧急安全更新修复两个高危漏洞，可能导致远程代码执行。建议用户立即更新浏览器以防范潜在威胁。... 2025-9-9 18:19:18 | 阅读: 0 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 漏洞 高危 chrome 浏览器

西门子SIMATIC虚拟化服务高危漏洞，网络共享无需认证即可访问 西门子披露其SIVaaS平台存在高危漏洞（CVE-2025-40804），CVSS评分9.1分。该漏洞导致网络共享资源无认证暴露，攻击者可远程访问或篡改敏感数据。所有版本受影响，西门子建议立即修复并遵循安全指南。... 2025-9-9 16:23:54 | 阅读: 1 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 漏洞 西门 西门子 6sv40

俄罗斯APT28组织新型Outlook后门GONEPOSTAL：利用电子邮件构建隐蔽C2通道 俄罗斯APT28组织利用名为GONEPOSTAL的恶意软件通过Outlook宏和DLL侧加载技术构建隐蔽C2通道，用于间谍活动。该软件伪装成合法DLL文件，在Outlook中启用恶意宏并修改注册表以实现持久化控制。... 2025-9-9 16:13:59 | 阅读: 1 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 攻击 c2 apt28 后门

APT37扩充攻击武器库：新增Rustonotto后门、PowerShell Chinotto及FadeStealer窃密程序 朝鲜背景黑客组织APT37持续进化恶意软件武器库，采用Rust语言开发新型后门Rustonotto，并结合隐蔽注入技术提升攻击效率。该组织针对韩国目标实施精准攻击，利用模块化窃密工具FadeStealer窃取敏感信息，并通过集中式C2服务器统一协调攻击活动。... 2025-9-9 16:1:29 | 阅读: 2 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 apt37 攻击 threatlabz c2

【漏洞案例】三个XSS案例带你拓宽挖洞思路 文章分享了三个XSS漏洞挖掘案例，包括文件上传XSS、存储桶XSS和站内信XSS，展示了XSS漏洞在不同功能点的广泛覆盖，并提醒开发者和安全人员在开发和测试中注意排查相关风险。... 2025-9-9 12:43:45 | 阅读: 1 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 信息 10443 漏洞 obs

新型网络攻击技术剖析：Electron 劫持与无服务器 C2 通道的隐蔽对抗 文章探讨了网络攻击技术的演进趋势，重点分析了基于Electron框架的Loki C2攻击技术及其采用云存储实现无服务器化通信的机制。该技术通过寄生合法应用和滥用云服务隐藏恶意行为，具备高隐蔽性、跨平台性和无文件化等特点，对传统防御体系构成重大挑战。... 2025-9-9 08:33:27 | 阅读: 19 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 攻击 c2 流量 攻击者

2025年十大最佳渗透测试即服务（PTaaS）公司 2025年渗透测试即服务（PTaaS）成为主动安全策略的核心，通过持续、实时的漏洞发现与管理帮助组织实现安全左移。评选基于经验、权威性和功能等因素，上榜公司如Rapid7、Cobalt等提供创新模式和自动化与人工结合的能力，助力企业从被动安全转向主动防御。... 2025-9-9 06:50:0 | 阅读: 2 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com ptaas 安全 漏洞 渗透 威胁

FreeBuf早报 | npm史上最大供应链攻击；macOS存严重漏洞 全球网安事件速递报道了多起重大安全事件和漏洞情报，包括npm供应链攻击、macOS高危漏洞、Adobe修复Magento问题等，并强调了修复措施和防范的重要性。... 2025-9-9 05:58:34 | 阅读: 0 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 漏洞 攻击 数据 窃取 注入

新型网络攻击武器化DeskSoft软件 通过RDP访问部署恶意软件执行指令 研究人员发现一起针对企业的高级网络攻击，攻击者伪装成DeskSoft公司的EarthTime应用程序，在协同勒索软件攻击中部署了多个恶意软件家族。攻击利用合法软件的可信度绕过安全防护，并采用进程注入、BITS持久化、反取证等复杂技术。... 2025-9-9 05:17:47 | 阅读: 2 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 攻击 网络 windows

智能GPU门恶意软件利用GitHub和谷歌广告进行隐蔽攻击 恶意软件GPUGate伪装成GitHub桌面版通过谷歌广告传播，针对西欧IT人员，利用GPU门控技术规避检测，并窃取敏感数据。... 2025-9-9 05:5:41 | 阅读: 2 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 github 数据 gpugate

某免费小说app登录抓包分析 文章描述了从应用商城安装的应用中提取APK文件，并通过ADB命令获取应用包名和APK位置。接着分析了登录流程的网络请求行为，包括使用Burp和r0capture抓包工具定位登录请求，并处理证书检测问题以成功抓取流量。... 2025-9-9 02:23:56 | 阅读: 0 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com libsscronet 证书 apk 信息

隐写术在渗透测试与攻防中的应用：从LSB到AI对抗 文章介绍了隐写术的核心原理与分类，包括替换型、生成型和扩展型三种常见方法，并按载体（如图像、音频、文本等）详细讲解了技术案例和工具。还提供了使用steghide工具在图片中隐藏文件的实操演示，并提醒在受控环境中操作。... 2025-9-9 01:55:41 | 阅读: 7 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 数据 网络 lsb 嵌入

Stratix交换机CVSS9.6分高危远程代码执行漏洞可导致RCE 罗克韦尔自动化发布安全公告，披露其Stratix工业以太网交换机存在高危漏洞（CVE-2025-7350），CVSS评分9.6分。攻击者可利用CSRF缺陷实现未认证远程代码执行。漏洞影响Stratix 5410、5700和8000系列设备及多个1783系列设备。修复方案为升级至Stratix IOS 15.2(8)E6版本，并建议采取网络防护措施。... 2025-9-9 01:29:59 | 阅读: 1 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 漏洞 stratix 1783 韦尔

SpamGPT：黑客利用AI驱动的邮件攻击工具发起大规模钓鱼攻击 一款名为SpamGPT的新型网络犯罪工具包结合AI技术与专业邮件营销平台功能，用于发起大规模高效钓鱼攻击。该工具通过自动化流程和内置AI助手KaliGPT生成钓鱼内容，并利用可信云服务伪装恶意流量。其高级规避检测功能和用户友好的界面大幅降低了犯罪门槛。网络安全防御需加强邮件认证协议并部署AI安全解决方案以应对这一新兴威胁。... 2025-9-9 00:37:39 | 阅读: 12 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 攻击 犯罪 攻击者 spamgpt

Linux UAF漏洞（CVE-2024-50264）新型利用方式曝光 研究人员发现一种新型技术可绕过现代安全防护措施，利用Linux内核中的Use-After-Free（UAF）漏洞CVE-2024-50264获取root权限。该技术通过破坏msg_msg对象而不导致内核崩溃，并结合跨缓存攻击和内存喷射等方法，在恶劣条件下实现可靠利用。最终通过越界读取泄露进程凭证地址并实施第二次UAF攻击，成功提升权限至root。... 2025-9-9 00:20:11 | 阅读: 10 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 漏洞 攻击 原语 绕过

Adobe紧急修复Magento历史上最严重的漏洞CVE-2025-54236 Adobe公司因SessionReaper（CVE-2025-54236）漏洞提前发布紧急补丁。该漏洞严重威胁Magento电商平台安全，可能导致大规模攻击。尽管Adobe通知了付费客户，但未提前告知开源用户。建议商家立即安装补丁或采取防护措施以应对潜在风险。... 2025-9-8 18:10:4 | 阅读: 4 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 漏洞 补丁 magento 攻击

Spring Cloud Gateway WebFlux现cvss10分高危漏洞，可导致环境属性篡改 Spring Cloud Gateway Server WebFlux组件存在高危漏洞（CVE-2025-41243），CVSS评分10.0。该漏洞允许攻击者在特定条件下篡改Spring环境属性。受影响应用需同时满足使用WebFlux、包含Actuator依赖、启用gateway端点且未受保护等条件。修复建议升级至指定版本或采取临时缓解措施以降低风险。... 2025-9-8 17:30:16 | 阅读: 21 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 漏洞 actuator cloud webflux

苹果用户速更新！macOS存严重漏洞，用户隐私数据面临泄露风险 macOS发现高危漏洞（CVE-2025-24204），CVSS评分9.8，允许应用绕过系统保护机制访问受保护数据。攻击者可利用调试工具gcore读取任意进程内存数据，获取主密钥并完全访问钥匙串，绕过透明化权限控制（TCC）机制访问用户照片、联系人等文件。苹果已在macOS 15.3更新中修复该漏洞并移除问题权限。建议用户尽快升级系统以防范风险。... 2025-9-8 16:12:7 | 阅读: 0 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 漏洞 攻击者 攻击 gcore