各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！

热点资讯

1. 新供应链攻击波及npm仓库，40余个软件包遭篡改

npm仓库遭供应链攻击，40余个包被篡改，恶意代码窃取开发者凭证和云密钥，植入持久化GitHub Actions持续外泄数据。建议卸载受影响包、轮换密钥并监控异常活动。

2. 苹果紧急修复ImageIO零日漏洞 攻击事件已获实证

苹果紧急修复ImageIO高危零日漏洞(CVE-2025-43300)，该漏洞可致内存损坏且已被用于定向攻击。iOS/iPadOS 16.7.12更新覆盖新旧设备，无临时解决方案，用户须立即安装。2025年苹果已修复8个零日漏洞，超去年总量。

3. Chrome紧急更新：V8引擎零日漏洞(CVE-2025-10585)已被野外利用

Google紧急更新Chrome修复四个高危漏洞，包括已被利用的V8零日漏洞（CVE-2025-10585），攻击者可远程执行代码。其他漏洞涉及Dawn、WebRTC和ANGLE组件，均可能导致崩溃或代码执行，需立即更新。

4. FlowiseAI 高危漏洞（CVE-2025-58434）可导致完全账户接管（CVSS 9.8）

FlowiseAI曝高危漏洞（CVE-2025-58434，CVSS 9.8），攻击者可利用密码重置端点直接获取临时令牌，无需认证即可接管任意账户（含管理员）。所有3.0.5前版本均受影响，建议禁用敏感信息返回并启用MFA。

5. Linux内核ksmbd模块曝出零点击远程代码执行漏洞，PoC已公开

Linux内核SMB服务器ksmbd存在两个高危漏洞CVE-2023-52440（可控SLUB溢出）和CVE-2023-4130（越界读取），可串联利用实现内核入侵。攻击者通过构造恶意NTLM认证和EA缓冲区，无需认证即可远程控制堆溢出并泄露内存数据，最终执行代码获取系统权限。相关补丁已发布，但不当配置仍存风险。

6. LG WebOS智能电视漏洞可绕过认证实现完全控制

LG智能电视WebOS系统曝高危漏洞，攻击者可利用路径遍历漏洞获取root权限，完全控制设备，安装恶意软件。漏洞涉及多款机型，LG已发布安全公告建议用户更新固件。

7. 中国用户遭SEO定向投毒攻击：HiddenGh0st、Winos与kkRAT恶意软件滥用GitHub Pages

中文用户遭SEO投毒攻击，仿冒软件网站传播HiddenGh0st、Winos等恶意软件，利用多阶段机制规避检测。新型kkRAT加入攻击，具备全面监控能力，通过BYOVD技术对抗安全软件，劫持加密货币交易。

8. 朝鲜黑客组织Kimsuky利用ChatGPT伪造军人证件实施新型攻击

朝鲜黑客组织Kimsuky利用AI伪造军人证件实施钓鱼攻击，通过深度伪造技术生成高置信度证件，结合隐蔽攻击链和社会工程学手段入侵系统，凸显终端防护系统的重要性。

9. Windows截图工具Greenshot曝高危漏洞 可执行任意代码（PoC已公开）

Windows开源截图工具Greenshot曝高危漏洞（CVE待分配），允许本地攻击者执行任意代码并绕过安全防护，影响1.3.300及更早版本。漏洞源于IPC机制缺陷，攻击者可利用WM_COPYDATA消息注入恶意载荷。建议立即升级至1.3.301修复版本。

10. Cloudflare API 服务中断事件分析：React useEffect 漏洞引发级联故障

Cloudflare 近日发布详细事故报告，披露2025年9月12日导致其控制面板和API服务中断超过一小时的重大故障。经调查，此次事件源于控制面板软件漏洞与服务更新的叠加效应，最终引发关键内部系统的级联故障。

一周好文共读

1. Linux udisksd 和 libblockdev权限提升漏洞(CVE-2025-6019)利用过程

该漏洞影响依赖 udisksd 守护进程和 libblockdev 后端的 Linux 发行版，包括 Fedora 和 SUSE。在配置不当的环境中，该漏洞可被轻易利用，允许 allow_active 组中的用户实现本地权限提升（LPE）至 root 权限。【阅读原文】

2. 项目实战 · 构建你的第一个杀毒引擎

在本文中，我们将从零开始构建一个最基础的杀毒引擎原型系统——“Hawkeye AVE（Antivirus Engine）”。它将具备基础的病毒检测能力。通过动手实践，你将对杀毒引擎的恶意软件检测机制有更深入了理解，同时掌握一个完整的杀毒引擎的设计、开发、测试的流程。【阅读原文】

3. 全新视角下的 Java：一种全新的方式实现完美 dump lsass

在现代红队与APT行动中，dumplsass.exe进程获取凭据几乎是渗透测试和权限维持的标配。然而，随着安全厂商不断更新规则，以 C/C++ 编写的传统加载器已面临“灭绝性打击”：静态签名、行为特征、系统 API 调用序列，一切都在被严密监控。即使使用手工加载 shellcode、syscall 替代、内联汇编绕过等复杂技术，依然有概率被 EDR 标记为恶意行为。在这种“卷到极致”的环境下，反而是那些“不常见”的技术栈成了突破口。【阅读原文】