全球网安事件速递

1. Android 紧急安全警报：框架组件存在严重拒绝服务漏洞及两个遭利用的 0Day 需立即修补

谷歌发布Android安全公告，披露两个正被利用的0Day漏洞（CVE-2025-48633、CVE-2025-48572）和一个关键远程DoS漏洞（CVE-2025-48631），以及多个内核级高危漏洞。安全补丁分两阶段推送，涵盖核心组件和硬件特定修复，建议用户尽快升级至2025-12-05补丁级别。【外刊-阅读原文】

2. 启动过程遭入侵：高通骁龙8 Gen 3及5G调制解调器曝出高危漏洞（CVE-2025-47372）

高通发布2025年12月安全更新，修复11个漏洞，包括启动过程高危漏洞CVE-2025-47372（CVSS 9.0）及影响音频、摄像头、汽车系统的关键问题，涉及骁龙8 Gen 3等多款芯片，敦促OEM立即部署补丁。【外刊-阅读原文】

3. 430万Chrome与Edge用户遭ShadyPanda恶意软件七年攻击

高级威胁组织"ShadyPanda"利用浏览器扩展程序信任机制，七年内感染430万用户，通过静默更新植入RCE后门，窃取浏览历史、搜索记录等敏感数据，暴露浏览器安全模型静态信任缺陷。【外刊-阅读原文】

4. 0Day攻击解析：运作原理与防御之道

0Day攻击利用未知漏洞，威胁网络安全，针对高价值目标，传统防御失效。需强化威胁调查、快速补丁、行为检测、零信任架构、网络分段和持续情报，以有效应对这一隐蔽且破坏性强的威胁。【外刊-阅读原文】

5. 恶意VS Code扩展伪装图标主题攻击Windows与macOS用户

恶意VS Code扩展伪装成图标主题，内含Rust后门程序，通过官方市场分发，可连接远程服务器获取指令，利用Solana区块链钱包和Google Calendar事件传递加密载荷，攻击Windows和macOS用户。【外刊-阅读原文】

6. 警报：韩国电商巨头Coupang数据泄露波及3370万用户——超半数韩国人口受影响

韩国Coupang电商平台遭重大数据泄露，3370万用户信息外泄，占全国人口过半。泄露含姓名、地址等敏感信息，但财务数据未受影响。调查发现前员工嫌疑最大，但缉拿困难。【外刊-阅读原文】

7. 微软确认新版 Outlook 存在阻止 Excel 附件打开的新漏洞

微软确认新版Outlook存在Excel附件文件名含非ASCII字符时无法打开的故障，已开发修复程序但尚未全面推送，建议用户临时使用网页版或下载本地文件解决。【外刊-阅读原文】

8. Albiriox：俄罗斯"恶意软件即服务"安卓木马重新定义移动欺诈

新型安卓银行木马Albiriox以付费服务形式提供欺诈工具，具备高级规避技术并完全控制设备。针对全球银行和加密应用，采用社会工程学诱饵传播，突破银行防录屏保护，标志移动欺诈商业化飞跃。【外刊-阅读原文】

9. CVE-2025-64775：Apache Struts "文件泄漏"漏洞可能导致磁盘耗尽

Apache Struts框架曝DoS漏洞（CVE-2025-64775），攻击者通过multipart请求耗尽磁盘空间导致服务瘫痪，影响2.0.0-6.7.0和7.0.0-7.0.3版本，建议升级至6.8.0或7.1.1修复。【外刊-阅读原文】

10. 黑客转向"无文件攻击"技术利用Windows内置工具绕过EDR防护

黑客利用Windows内置工具（如PowerShell、WMI）实施"无文件攻击"，规避安全检测。这些合法工具难以禁用，需转向行为分析和日志监控，建立基准线识别异常活动，超越传统签名检测。【外刊-阅读原文】

优质文章推荐

1. 反调试攻防实战：无限Debugger绕过与开发者工具检测技术解析

文章介绍了应对网站反调试技术的实用方法，包括绕过F12限制和解决无限Debugger问题，推荐使用浏览器插件或Firefox原生功能进行反反调试，帮助安全人员分析JS代码。【阅读原文】

2. 应急响应 | 网站篡改应急响应

掌握网页篡改应急响应步骤，包括识别篡改类型（显式/隐式）、利用工具扫描WebShell、排查系统可疑进程/端口/用户、分析日志追踪攻击行为，并通过漏洞扫描验证SQL注入等漏洞。【阅读原文】

3. JWT：渗透测试姿势全解析（含实战）

JWT渗透测试核心：关注Header和Payload，利用校验缺陷（如使用decode()而非verify()）、空密码算法、密钥爆破、JWK/JKU注入、算法混淆等漏洞实现越权。对称加密可爆破密钥或设none算法，非对称加密尝试注入或遍历。【阅读原文】

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册原链接平台账号后方可阅读。