各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具，保证大家不错过本周的每一个重点！

热点资讯

1. 热门摄像头曝零日漏洞，黑客借此入侵政府部门

据GreyNoise公司安全研究人员Konstantin Lazarev披露，PTZOptics PTZ 摄像头存在两个零日漏洞，漏洞编号分别是CVE-2024-8956和CVE-2024-8957，目前已经发现有黑客正在利用这些零日漏洞发起网络攻击。

2. 能伪造通话界面，FakeCall恶意软件变种在安卓手机中传播

Zimperium's zLabs 的网络安全研究人员发现了 FakeCall 恶意软件的一个新变种，能够诱导受害者拨打诈骗电话，导致身份信息被窃取。

3. 因健身应用轨迹，贴身保镖恐泄露美国总统位置信息

做为一款全球拥有1.2亿用户的流行健身应用程序，Strava能够记录跑步和骑行等在内的运动轨迹，但法国媒体《世界报》发现，一些国家政要的贴身安保人员也是用户之一，其轨迹能够反映这些政要去了哪里，在做什么。

4. App-Bound新工具可绕过谷歌浏览器的 Cookie 加密系统

最近，网络安全研究员亚历山大-哈根纳（Alexander Hagenah） 发布了一款工具，该工具名为 “Chrome-App-Bound-Encryption-Decryption ”， 可以绕过谷歌新的应用程序绑定加密 cookie 防护系统，并从 Chrome 浏览器中提取已保存的凭据。

5. 利用Windows漏洞，攻击者能降级系统组件恢复漏洞

在最近的一项研究中，SafeBreach Labs 研究员揭露了一种新的攻击技术，能够操纵Windows 11系统在更新时降级关键系统组件，从而让一些漏洞修复补丁失效。

安全事件

1. 美国超大型数据泄露事件曝光：超1亿人数据被盗

联合健康（UnitedHealth）首次证实，在 Change Healthcare 勒索软件攻击中，有超过 1 亿人的个人信息和医疗保健数据被盗，这是近年来最大的医疗保健数据泄露事件。

2. 2024零售行业最大泄露事件，3.5亿数据被挂暗网

近日，以色列网络安全公司Hudson Rock发现 一个据称包含3.5亿条Hot Topic顾客个人和支付数据的庞大数据库，在暗网上被公开出售。

3. 法国第二大互联网服务商遭遇数据泄露，波及1900万用户

法国主要互联网服务提供商 （ISP） Free 在上周末证实，稍早前有黑客入侵了其系统并窃取了用户的个人信息。

4. 开源AI/ML模型曝出30余个漏洞，可能导致远程代码执行与信息窃取风险

开源人工智能（AI）和机器学习（ML）模型中已披露了三十几个安全漏洞，其中一些漏洞可能导致远程代码执行和信息窃取。

5. 遭勒索攻击后，秘鲁国际银行承认数据泄露

秘鲁最大的金融机构之一，秘鲁国际银行 （Interbank）承认遭勒索组织攻击，攻击者成功入侵其IT系统，并窃取了相关用户数据。泄露的数据包括客户的全名、账户ID、出生日期、地址、电话号码、电子邮件、信用卡信息及其他敏感信息。

一周好文共读

1. SVM算法在SQL注入攻击语义分析中的应用

本文介绍了SVM算法在SQL注入攻击检测中的应用，通过SQL语句解析、语义特征提取和异常检测步骤，有效识别SQL注入攻击，为网络安全提供了自动化识别方法。 【阅读全文】

2. 应用安全设计方法——ASTRIDE威胁建模详解

本文结合实战案例，介绍ASTRIDE威胁建模的分析过程以及常犯的错误，为威胁建模提供方法指引和最佳实践。 【阅读全文】

3. 渗透测试 | 某系统垂直越权漏洞的挖掘

在某个工作日的上午，被安排了一个渗透测试项目，测试过程中收获了一枚垂直越权漏洞。本文打码较为严重，望师傅们理解。当然该垂直越权漏洞已经被修复了，本文记录主要是希望起到抛砖引玉的作用，分享一次垂直越权漏洞的挖掘思路，愿大家能够从中有所收获。 【阅读全文】

省心工具

1. ADSpider：一款针对活动目录AD的实时安全监控工具

ADSpider是一款针对活动目录AD的实时安全监控工具，该工具可以帮助广大研究人员更轻松地监控和保护活动目录AD的安全。 【阅读全文】

2. msldap：一款用于审计MS AD的LDAP库

msldap是一款用于审计MS AD的LDAP库，广大研究人员可以利用该工具轻松执行针对MS AD的安全审计任务。 【阅读全文】

3. PsMapExec：一款针对活动目录AD的安全检测工具

PsMapExec是一款针对活动目录AD的安全检测工具，广大研究人员可以利用该工具针对活动目录AD环境执行安全审计与安全测试任务。 【阅读全文】