各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具，保证大家不错过本周的每一个重点！

热点资讯

1. Forescout报告显示：物联网漏洞激增，成为黑客攻击的关键切入点

此次研究人员分析了近1900万台设备的数据，发现存在漏洞的物联网设备比例从2023年的14%上升到2024年的33%。其中，最容易受到攻击的物联网设备是无线接入点、路由器、打印机、网络电话（VoIP）和 IP 摄像机。

2. 大选开始之际，欧盟各政党遭受 DDoS 攻击

近日，欧洲议会选举在荷兰正式启动，未来几天将陆续在欧盟其它国家举行，这一时期成为了网络攻击事件的”高发期“。Cloudflare 在一份报告中指出，大量威胁攻击者正在针对欧洲各国的政党，发动大规模 DDoS 攻击。

3. 白帽报告苹果Vision Pro 特有漏洞，或可导致空间计算黑客攻击

Ryan Pickren 是苹果公司的网络安全研究员，在获得苹果公司批准之前，Pickren 未透露该漏洞的任何细节。但他表示，这和以往 Vision Pro 漏洞有着明显区别，这是Vision Pro 所特有的漏洞，并认为 "这将有可能导致有史以来真正意义上的空间计算黑客攻击"。

4. 建议立即删除！谷歌 EmailGPT 曝零日漏洞

据悉，安全漏洞由 Synopsys 网络安全研究中心的专家发现并上报，追踪为 CVE-2024-5184（CVSS 得分为 6.5），是一个 "提示注入 "类型的漏洞，允许威胁攻击者操纵服务并盗取敏感信息，可能引发知识产权泄露、拒绝服务和大额经济损失。

5. 头部旅游类App乱象：未经允许收集数据，索取手机权限

CyberNews称，这些应用都会获知用户的位置信息，但是包括Booking在内大约一半的应用并不会告知用户它们正在收集这一数据，某些应用还会简单地读取用户短信、访问摄像头和麦克风、读取设备中的其他文件，甚至代表用户拨打电话。

安全事件

1.《纽约时报》泄露270G数据，包含内部源代码

《纽约时报》在给 BleepingComputer 的一份声明中表示，这些数据泄露的原因源自2024年1月的一个漏洞，导致基于云的第三方代码平台的凭证被曝光。后续的一封电子邮件确认了这个代码平台是 GitHub。该公司表示，其GitHub帐户的泄露并未影响其内部公司系统，也对其运营没有影响。

2. 云存储提供商 Snowflake 数据泄露，165 家组织受影响

最初的说法是 Snowflake 的漏洞与云提供商自身的环境有关，Mandiant 调查证实了这一说法，即漏洞来自被泄露的客户凭据，其中许多凭据没有启用多因素身份验证。在这一数据泄露事件中，受攻击的知名企业包括 Ticketmaster、Advance Auto Parts、Santander 等。

3. 无法修复，Netgear WNR614 N300 路由器曝出安全漏洞

RedFox Security 公司的研究人员在 Netgear WNR614 N300 路由器上发现了六个安全漏洞，涉及身份验证绕过漏洞、弱密码策略漏洞、以及会引发纯文本存储密码和 Wi-Fi 保护设置 (WPS) PIN 暴露的安全漏洞。

4. 被黑客大规模攻击，边缘服务和基础安全设备脆弱性曝光

最近，针对易受攻击的边缘软件的攻击呈爆炸性增长，包括MOVEit、CitrixBleed、Cisco XE、Fortiguard的FortiOS、Ivanti ConnectSecure、Palo Alto的PAN-OS、Juniper的Junos和ConnectWise ScreenConnect等安全事件。

5. 尽快更新，Pixel 设备曝出零日漏洞

谷歌此次发布的安全更新还解决了直接影响 Pixel 设备的其他 44 个安全漏洞，其中 7 个是权限升级漏洞，这些漏洞一旦被威胁攻击者利用，可能会引发更大的安全危机。

一周好文共读

1. 耗资上亿购买零日漏洞，全球商业间谍软件正在野蛮生长

根据谷歌今年上半年发布的"购买间谍软件"报告，商业间谍软件市场正在迅速增长，数十家企业和大量资本涌入，对全球互联网安全和公民自由构成重大威胁。【阅读全文】

2. 苹果AI的新选择，越来越像人的GPT-4o会欺骗人类吗？

如今的ChatGPT已经绝非一年半前的初代版本所能比拟，生成式人工智能不仅仅是提高工作生产效率的助手，也正朝着人类的数字化“伴侣“方向迈进，每一次版本的迭代能令世人感到惊讶。 但能力的进步也始终伴随着风险水位的上涨，当AI越来越“有人味”，我们开始担心其”善解人意“的背后是否也正暗藏着一把锋利的匕首。【阅读全文】

3. 科大讯飞SAST产品技术选型实践

静态应用安全测试（Static Application Security Testing，简称SAST）产品可以帮助企业在应用的开发过程中，自动化发现应用程序代码中的安全漏洞和风险，对于企业的应用安全发挥着重要作用。【阅读全文】

省心工具

1. VirtFuzz：一款基于VirtIO的Linux内核模糊测试工具

VirtFuzz是一款功能强大的Linux内核模糊测试工具，该工具使用LibAFL构建，可以利用VirtIO向目标设备的内核子系统提供输入测试用例，广大研究人员可以使用该工具测试Linux内核的安全性。【阅读全文】

2. SwaggerSpy：一款针对SwaggerHub的自动化OSINT安全工具

SwaggerSpy是一款针对SwaggerHub的自动化公开资源情报（OSINT）安全工具，该工具专为网络安全研究人员设计，旨在简化广大红队研究人员从SwaggerHub上收集已归档API信息的过程，而这些OSINT信息可以为安全人员、开发人员和IT专业人员提供一些有价值的安全分析数据或独到见解。【阅读全文】

3. Dorkish：一款针对OSINT和网络侦查任务的Chrome扩展

Dorkish是一款功能强大的Chrome扩展工具，该工具可以为广大研究人员在执行OSINT和网络侦查任务期间提供强大帮助。【阅读全文】