FreeBuf互联网安全新媒体平台

1月22日， Pwn2Own Automotive 2025 在东京国际展览中心拉开帷幕，比赛首日就有16个零日漏洞被利用。

攻击者使用了两个主要的攻击链和一些横向移动技巧，入侵计算机系统，执行远程代码，窃取凭证，并植入Webshell。

主要涉及近年来流行的Lumma Stealer窃密木马。

这两起攻击活动分别由代号STAC5143和STAC5777的威胁行为者发起，利用Microsoft Teams默认配置，允许外部用户与内部用户发起聊天或会议。

一名34 岁的前中央情报局分析师近日承认曾非法保留和传输绝密国防信息，并在社交媒体上泄露了这些信息。

网络劫持攻击一直是网络安全领域的常见威胁，攻击者通过篡改网络请求或植入恶意代码，将用户劫持至非法页面，从而实现恶意目的。这种攻击手段不仅干扰用户的正常网络体验，还可能带来隐私泄露和设备安全风险。近期，

当地时间1月21日晚，特朗普在社交平台上表示，签署了对丝绸之路市场的创始人罗斯·乌尔布里希特的无条件赦免。

特朗普兑现了他向加密货币社区和自由主义选民做出的竞选承诺。

微软和 OpenAI 宣布延长战略合作伙伴关系，加强对推进人工智能技术的承诺，这表明强大的 AI 将在未来占据主导地位。

勒索软件的演变代表了过去三十年网络安全领域最重要的转变之一。

CVE-2025-0411漏洞源于7-Zip在处理带有MOTW标志的恶意压缩包时的不当操作。

AI 创新步伐的加快、日益复杂的网络威胁和新的监管政策将要求首席信息安全官 （CISO） 驾驭更复杂的环境。

该漏洞可能允许攻击者在特定情况下篡改git-upload-pack标志。

在使用 Apache Shiro 与 Spring 集成时，如果 Apache Shiro 的版本低于 1.7.0，经过精心构造的 HTTP 请求可能会导致身份验证绕过。

卡巴斯基披露了在梅赛德斯-奔驰信息娱乐系统中发现的十多个漏洞的细节，但奔驰保证这些安全漏洞已经得到修复。

德国驻美国大使安德烈亚斯·米夏埃利斯的一份电报19日遭泄露，这令德国陷入外交旋涡。

2024年期间，各组织向美国政府报告了720起医疗保健数据泄露事件，这些事件共影响1.86亿条用户记录。

OWASP发布2025年智能合约十大漏洞报告，反映了不断演变的攻击向量，深入剖析了近年来的常见漏洞及缓解策略。

新研究表明，多种隧道协议存在安全漏洞，这些漏洞可能让攻击者实施多种攻击。

自 2024 年底以来，一个新发现的物联网 （IoT） 僵尸网络一直在全球策划大规模分布式拒绝服务 （DDoS） 攻击。