各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具，保证大家不错过本周的每一个重点！

热点资讯

1. 2024年CVE回顾：网络安全中漏洞等级的重塑与新挑战

随着日历翻到2025年，网络安全专家正在盘点上一年度常见漏洞和暴露（CVEs）的主要趋势，揭示快速演变的威胁形势。

2. 研究人员成功入侵苹果新型USB-C控制器

安全研究人员成功入侵了自iPhone 15 和 iPhone 15 Pro引入的苹果ACE3 USB-C控制器，引发了对设备安全性和潜在漏洞的质疑。

3. AI抢不走的工作，微软力挺红队测试仍需人类“掌舵”

随着AI的快速发展，安全专家担心人工智能会取代他们的工作，但微软的研究人员坚持认为，有效的红队测试仍然依赖于人类的专业知识、文化意识和情商——这些品质是机器无法复制的。

4. 美日韩称朝鲜黑客去年窃取了超过 6.59 亿美元加密货币

美日韩三国于1月14日发表了一份联合声明，称受朝鲜国家支持的黑客在去年窃取了6.59亿美元的加密货币，并强调这一过程仍在持续。

5. Azure AI被黑客越狱，提供“黑客即服务”

微软近日宣布，正在对一个“外国黑客组织”提起诉讼。该组织运营“黑客即服务“的基础设施，故意绕过微软生成式人工智能（AI）服务的安全控制来制作冒犯性和有害内容。

安全事件

1. Palo Alto Networks防火墙迁移工具曝多个关键漏洞，可泄露明文密码

Palo Alto Networks 在其 Expedition 迁移工具中披露了多个关键安全漏洞，包括一个令人担忧的操作系统命令注入漏洞，该漏洞使攻击者能够执行任意命令并访问敏感的防火墙凭证。

2. 1亿macOS用户面临Banshee新变种威胁

乌克兰黑客组织“乌克兰网络联盟”的成员本周二（1月7日）在Telegram上 宣布，他们已经攻破了俄罗斯互联网服务提供商Nodex的网络，并在窃取敏感文件后清空了系统。同时，他们还分享了在攻击期间黑掉的俄罗斯ISP的VMware、Veeam备份和惠普企业虚拟基础设施的截图。

3. 不干净的视频评论区，攻击者利用Youtube传播窃密软件

趋势科技的一项调查研究发现，为了尽可能传播恶意软件，攻击者正利用Youtube评论区、谷歌搜索等渠道提供其恶意下载链接。

4. 2025年首个满分漏洞，PoC已公布，可部署后门

云攻击者正在大肆利用名为Max - Critical Aviatrix RCE漏洞（编号CVE - 2024 - 50603），此漏洞在CVSS评分中高达10分（满分10分），能够在受影响系统上执行未经身份验证的远程代码，网络犯罪分子借此漏洞植入恶意软件。

5. Windows远程桌面网关出现重大漏洞

微软披露了其Windows远程桌面网关（RD Gateway）中的一个重大漏洞，该漏洞可能允许攻击者利用竞争条件，导致拒绝服务（DoS）攻击。该漏洞被标识为CVE-2025-21225，已在2025年1月的补丁星期二更新中得到修复。

一周好文共读

1. 记一次小程序渗透测试+分享挖SRC小技巧

在某个周一工作日，经授权被安排做一个小程序渗透测试项目，测试过程中发现的有意思漏洞简单记录下来并分享给大家。 【阅读全文】

2. Redis漏洞利用与SSH免密反弹Shell

本篇文章将详细介绍如何通过 Redis 服务漏洞进行 WebShell 写入，利用 SSH 公钥实现免密登录，并利用计划任务反弹 Shell 的过程，尤其适用于渗透测试与靶场搭建。 【阅读原文】

3. 特定版本Vaadin组件反序列化漏洞

本文详细分析特定版本下Vaadin这一组件导致的Java反序列化Gadget，从source和sink两个角度进行展开。 【阅读原文】

省心工具

1. 如何使用MaskerLogger防止敏感数据发生泄露

MaskerLogger是一款功能强大的记录工具，该工具可以有效防止敏感数据泄露的发生。 【阅读全文】

2. APKLeaks：一款针对APK文件的数据收集与分析工具

APKLeaks是一款功能强大的APK文件安全分析工具，该工具可以帮助广大研究人员扫描目标APK文件中的URI、端点和敏感信息，可以有效地实现针对APK的数据收集与分析任务。 【阅读全文】

3. RequestShield：一款HTTP请求威胁识别与检测工具

RequestShield是一款HTTP请求威胁识别与检测工具，旨在帮助广大安全分析人员更好地分析和识别HTTP请求中的潜在安全威胁。 【阅读全文】