各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、一周好文,保证大家不错过本周的每一个重点!
📚Meta暗中追踪数十亿安卓用户,并规避了传统隐私保护措施
😈GitLab 曝高危漏洞组合:攻击者可实现完全账户接管
🎠CyberEYE木马利用PowerShell和注册表操作禁用Windows Defender
🛡微服务安全防护:分布式系统最佳实践
☁️威胁狩猎入门指南:专家级主动网络安全策略
📧微软Outlook路径遍历漏洞允许攻击者远程执行任意代码
🖥️UEFI安全启动遭突破,高危漏洞CVE-2025-3052威胁数百万PC
📱谷歌账户恢复漏洞致攻击者可获取任意用户手机号
💻新型供应链恶意软件攻击 npm 和 PyPI 生态,全球数百万用户面临风险
🏦新型安卓银行木马正在全球蔓延,可完全控制安卓设备
Meta与Yandex利用安卓本地主机套接字,通过WebRTC技术静默追踪用户浏览数据,关联身份信息,规避隐私防护。该技术影响全球数亿用户,覆盖超578万网站,最终因浏览器厂商封禁被迫终止,暴露安卓跨应用数据共享风险。
GitLab曝高危漏洞,攻击者可完全接管账户,入侵开发基础设施。涉及多个版本,CVSS评分超8.0,包括HTML注入和XSS漏洞。紧急发布补丁,建议立即升级,防止数据泄露和CI/CD破坏。
CyberEYE新型木马通过PowerShell和注册表操作完全禁用Windows Defender,利用Telegram作为C2基础设施,具备键盘记录、数据窃取等功能,易用性强且隐蔽性高,对Windows系统构成重大威胁。
微服务架构带来可扩展性和敏捷性,但面临分布式安全挑战。需实施多层次安全措施,包括认证授权、双向TLS、动态密钥管理和全面监控,平衡安全与灵活性。
谷歌账户恢复系统存在高危漏洞,攻击者可暴力破解获取用户手机号。利用无JS接口绕过防护,通过IPv6和令牌复用规避限制,效率高达每秒4万次。谷歌已修复漏洞并提升奖励至5000美元,凸显遗留系统安全风险。
GlueStack等12个软件包遭供应链攻击,植入恶意代码可执行命令、窃取信息,每周下载量近百万次。另有npm恶意包可删除应用目录,PyPI出现伪装Instagram工具的凭证窃取程序,已下载数千次。
新型安卓银行木马Crocodilus全球蔓延,通过伪装广告传播,可绕过Android 13+安全限制,操控设备通讯录并窃取加密货币私钥,威胁多国金融安全。
本周好文推荐指数
传统C/C++加载器面临EDR全面封杀,Java借助JNA调用WinAPI实现免杀,利用字节码非PE特性绕过静态检测,天然免疫沙箱,实战成功dump lsass并加密,主流杀软无告警,展示Java在系统层攻击的潜力。
特权容器和API暴露易引发主机控制风险,需禁用特权模式、限制资源访问、验证镜像完整性,并实施强认证授权机制,防止容器逃逸和DoS攻击。
Redis未授权漏洞复现指南:涵盖未授权访问、SSH公钥写入、Webshell上传、主从复制RCE等利用方法,提供防护建议与工具推荐,适合学习测试。
推荐阅读
电台讨论![FreeBuf周报 | Meta暗中追踪数十亿安卓用户;GitLab 曝高危漏洞组合]( "FreeBuf周报 | Meta暗中追踪数十亿安卓用户;GitLab 曝高危漏洞组合")
原文始发于微信公众号(FreeBuf):FreeBuf周报 | Meta暗中追踪数十亿安卓用户;GitLab 曝高危漏洞组合
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论