各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！

热点资讯

1. 启动过程遭入侵：高通骁龙8 Gen3及5G调制解调器曝出高危漏洞（CVE-2025-47372）

高通发布2025年12月安全更新，修复11个漏洞，包括启动过程高危漏洞CVE-2025-47372（CVSS 9.0）及影响音频、摄像头、汽车系统的关键问题，涉及骁龙8 Gen 3等多款芯片，敦促OEM立即部署补丁。

2. React与Next.js严重RSC漏洞可导致未经认证的远程代码执行

React Server Components曝高危漏洞（CVE-2025-55182），攻击者可远程执行代码，影响react-server-dom等npm包及Next.js等框架。39%云环境受影响，建议立即升级至修复版本。

3. 200多个CVE漏洞遭利用，谷歌云OAST服务成复杂攻击活动跳板

安全研究人员发现一项复杂的漏洞利用活动，该活动利用托管于谷歌云基础设施上的私有带外应用安全测试服务发起攻击。此攻击活动主要针对巴西境内的系统，涉及超过200个通用漏洞。

4. 乌克兰黑客利用新型定制恶意软件攻击俄罗斯航空航天企业及国防相关行业

乌克兰黑客组织正对俄罗斯国防企业发起针对性网络攻击，通过钓鱼邮件植入定制恶意软件窃取军工数据，暴露生产链薄弱环节，旨在评估俄罗斯战备状态。攻击手法隐蔽且精准，针对关键岗位人员。

5. Aisuru僵尸网络发起29.7Tbps DDoS攻击刷新世界纪录

Aisuru僵尸网络发起29.7Tbps DDoS攻击创纪录，暴露互联网基础设施脆弱性。Cloudflare成功缓解，显示多太比特攻击成常态。攻击采用UDP地毯式轰炸，每秒1.5万目标端口，但被快速拦截。2025年攻击量激增，电信、游戏等行业成主要目标，地缘冲突加剧攻击态势。

6. 黑客可在数秒内劫持行车记录仪并将其武器化为攻击工具

行车记录仪存在严重安全漏洞，攻击者可远程劫持设备获取视频、音频和GPS数据，甚至传播蠕虫攻击其他设备。建议关闭Wi-Fi、修改密码并更新固件以降低风险。

7. Android 紧急安全警报：框架组件存在严重拒绝服务漏洞及两个遭利用的 0Day 需立即修补

谷歌发布Android安全公告，披露两个正被利用的0Day漏洞（CVE-2025-48633、CVE-2025-48572）和一个关键远程DoS漏洞（CVE-2025-48631），以及多个内核级高危漏洞。安全补丁分两阶段推送，涵盖核心组件和硬件特定修复，建议用户尽快升级至2025-12-05补丁级别。

8. OpenAI承认数据泄露事件：分析合作伙伴遭钓鱼攻击

OpenAI因分析伙伴Mixpanel遭钓鱼攻击导致客户数据泄露，涉及API账户元数据，但敏感信息未受影响。双方已终止合作并通知客户，建议加强安全措施。事件凸显次级平台安全风险，企业需全面评估AI平台安全。

9. 黑客组织暗网兜售iOS 26全链0Day漏洞利用工具

黑客ResearcherX在暗网出售针对iOS 26的全链0Day漏洞工具，利用消息解析器内存损坏漏洞，可零点击获取root权限，绕过多层防护窃取敏感数据。若属实，将是苹果安全架构的重大突破。专家建议关注紧急更新，但需警惕暗网欺诈风险。

10. 微软Outlook高危零点击远程代码执行漏洞PoC利用代码公开

微软Outlook高危漏洞CVE-2024-21413（CVSS 9.8）PoC代码公开，攻击者可绕过安全机制窃取凭证或远程执行代码。微软已发布补丁，建议立即更新并监控可疑邮件，阻止SMB流量防止凭证泄露。

一周好文共读

1. 银狐新变种恶意样本分析：“逆向+沙箱+动态运行”深度分析

银狐变种木马伪装"税务稽查"等诱饵攻击财务人员，采用IAT-less调用、哈希混淆等技术绕过检测，释放恶意文件并回连C2服务器。防御需拦截诱饵文件、封禁C2IP并加强人员培训。【阅读原文】

2. 反调试攻防实战：无限Debugger绕过与开发者工具检测技术解析

文章介绍了应对网站反调试技术的实用方法，包括绕过F12限制和解决无限Debugger问题，推荐使用浏览器插件或Firefox原生功能进行反反调试，帮助安全人员分析JS代码。【阅读原文】

3. 从 “裸奔” 到 “加密护航”，https数据传输安全的底层逻辑

HTTPS通过加密、认证和完整性校验解决HTTP的安全漏洞，保障数据传输安全。其核心技术包括对称加密、非对称加密、散列、消息认证码、数字签名和CA证书，协同实现高效加密与可靠认证。TLS握手流程确保安全连接，性能优化使HTTPS成为互联网信任基石。【阅读原文】