各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！

热点资讯

1. 特斯拉车主隐私 “裸奔”，GPS 坐标、驾驶习惯等随意获取

数百个TeslaMate实例因配置错误暴露特斯拉车辆敏感数据，包括GPS坐标和驾驶习惯。研究人员通过全网扫描发现漏洞，建议车主立即加强身份验证和访问控制，防止隐私泄露。

2. Windows 11 24H2安全更新引发存储设备故障及数据损坏风险

微软KB5063878安全更新导致Windows 11 24H2用户SSD/HDD无法访问或数据损坏，尤其在大文件操作时风险加剧。建议暂缓安装更新并备份数据，微软尚未提供官方修复方案。

3. 十年渗透：俄罗斯APT组织如何长期利用思科设备漏洞（CVE-2018-0171）

俄罗斯黑客组织"Static Tundra"十年来利用思科设备漏洞(CVE-2018-0171)长期渗透全球电信、教育及制造业，与FSB关联，俄乌战争后对乌克兰攻击加剧，通过隐蔽植入程序实现持久监控。

4. CVE-2025-9288：流行JavaScript库存在严重漏洞，威胁全球Web安全

广泛使用的JavaScript加密库sha.js近日披露了一个严重安全漏洞，漏洞编号CVE-2025-9288，CVSS评分为9.1分。攻击者可借此操纵哈希值计算过程，导致从哈希碰撞到加密密钥提取等一系列严重后果。

5. 黑客组织涉嫌在暗网兜售Windows零日远程代码执行漏洞

黑客组织出售Windows零日RCE漏洞，可攻击Win10/11/Server2022，绕过ASLR/DEP/CFG防护，无需交互获取SYSTEM权限，售价12.5万美元。建议加强监控、补丁管理和威胁检测。

6. 黑客活动分子与僵尸网络推高DDoS攻击浪潮：2025年7月网络攻击态势分析

2025年7月期间，由僵尸网络驱动的分布式拒绝服务(DDoS)攻击呈现急剧上升趋势，每日攻击事件数以千计，且存在明显的黑客活动分子参与迹象。

7. CERT/CC警告：新型HTTP/2漏洞"MadeYouReset"恐致全球服务器遭DDoS攻击瘫痪

CERT/CC警告HTTP/2漏洞CVE-2025-8671（MadeYouReset），攻击者可利用服务端流重置缺陷发起高效DDoS攻击，导致服务器资源耗尽。该漏洞与CVE-2023-44487类似但针对服务端，厂商已发布补丁，建议及时更新并审计HTTP/2实现。

8. linux内核netfilter漏洞可导致攻击者权限提升

linux内核netfilter的ipset子系统存在高危漏洞，本地攻击者可利用越界写入获取root权限，影响6.12.2及之前版本，需立即更新补丁。

9. CVE-2025-55205：Capsule Kubernetes多租户框架存在严重漏洞，可导致跨租户攻击

Capsule Kubernetes多租户框架曝高危漏洞（CVE-2025-55205，CVSS 9.1），允许租户通过标签注入攻击绕过隔离机制，访问系统命名空间和其他租户资源，导致特权提升和数据泄露。影响v0.10.3及更早版本，建议立即更新。

10. 麦当劳系统漏洞事件：从免费鸡块漏洞到高管数据泄露

麦当劳数字系统存在多重严重漏洞，从免费食品兑换漏洞到高管数据泄露，安全措施松懈。研究员发现客户端验证缺陷、明文密码传输等高风险问题，部分漏洞数月未修复。公司缺乏漏洞赏金计划，凸显跨国企业安全管理的不足。

一周好文共读

1. 新银狐病毒样本“flyingforest.sbs”应急处置

员工办公电脑的 Win11 电脑感染 "银狐病毒"，主要表现为持续解析恶意域名，初步判断为下载恶意软件导致，本文对该时间进行处理，对病毒文件进行分析，并对银狐进行了相应的清除。【阅读原文】

2. 手把手js逆向断点调试&js逆向前端加密对抗&企业SRC实战分享

这篇文章主要是给没有学习过js逆向的师傅学习的，分享一些js逆向基础知识，js实战断点调试技巧以及后面分享js逆向靶场搭建以及js逆向前端加密对抗，拿微信小程序常用的AES、RSA和明文Sign 签名校验绕过几个方面给师傅们分享下操作技巧。【阅读原文】

3. 应急响应 | linux系统安全加固实验

安全加固是指根据专业安全评估结果，制定相应的系统加固方案。针对不同目标系统，通过打补丁、修改安全配置、增加安全机制等方法，合理地进行安全性的加强。其主要目的是减少信息系统自身的脆弱性，从而降低系统遭受的安全风险。【阅读原文】