各位 FreeBufer 周末好~以下是本周的「FreeBuf周报」，我们总结推荐了本周的热点资讯、优质文章和省心工具，保证大家不错过本周的每一个重点！

热点资讯

1、关键词“转型”，Talon斩获创新沙盒大赛冠军 | 直击RSAC2022

2、苹果胜诉，法官驳回 iPhone / iPad“崩溃”“幽灵”安全漏洞欺诈集体诉讼

3、大规模 Facebook 网络钓鱼活动，预计产生数百万美元收益

4、欧盟就移动设备统一使用USB-C充电端口达成临时协议

5、信通院发布《软件物料清单实践指南》

6、Facebook首次任命首席信息安全官

7、10大最流行银行木马，在谷歌商店被下载超10亿次

8、紫光展锐处理器被曝 9.4 级严重网络漏洞，可阻止手机联网

9、美国安全局首度承认美军黑客多次支援乌克兰

10、微软承认零日漏洞Follina Office 漏洞的存在

优质文章

1、网络资产攻击面管理（CAASM）成安全新解法 | 直击RSAC2022

未来，随着CAASM技术的广泛应用，将进一步缩短漏洞的修复时间。作为新安全架构的一部分，CAASM可为漏洞修复提供支撑能力，助力安全团队系统地发现和修复安全漏洞，甚至是主动寻找新的安全漏洞。【阅读原文】

2、8大预测分析工具比较

预测分析工具融合了人工智能和业务报告。这些工具包括用于从整个企业收集数据的复杂管道，添加统计分析和机器学习层以对未来进行预测，并将这些见解提炼成有用的摘要，以便业务用户可以对此采取行动。【阅读原文】

3、2022云原生安全发展24个洞见

云原生技术为企业带来快速交付的优势之外,也带来了新的安全要求与挑战。在长期跟踪容器安全的研究之后，本文基于各类材料，重点对容器发展、容器镜像安全、K8S发展的技术趋势进行整理分析。【阅读原文】

4、0day漏洞：Chromium v8引擎最新UAF代码执行漏洞分析

Chromium v8中x64平台的指令优化中发现了UAF漏洞。成功利用此漏洞可以允许攻击者在浏览器上下文中执行任意代码。该漏洞是由于v8在优化结束之后，指令选择阶段，选择了错误的指令，导致的内存破坏漏洞，成功利用此漏洞，可以达到代码执行的效果。【阅读原文】

5、新型勒索软件Nokoyawa简析

Nokoyawa是今年早些时候出现的一种新型基于Windows平台开发的勒索软件。本文讨论Nokoyawa Ransomware的一般行为以及它最近添加的新功能，即以最大限度地增加可以加密的文件数量。【阅读原文】

省心工具

1、Mythic：专为红队研究人员设计的跨平台协同框架

Mythic是一款专为红队研究人员设计的跨平台后渗透测试框架，该框架基于Python 3开发，由Docker、Docker-Compose和一个Web浏览器UI构成。该工具的主要目标是为了给广大红队研究人员提供一个协同式框架，并通过用户友好的操作界面来帮助红队人员进行渗透测试操作或管理安全报告。【阅读原文】

2、如何使用Cliam测试云端环境IAM权限安全

Cliam是一款针对云端安全的测试工具，在该工具的帮助下，广大研究人员可以轻松枚举目标云端环境的IAM权限。当前版本的Cliam支持下列云端环境：AWS、Azure、GCP和Oracle。【阅读原文】

3、Xepor：一款针对逆向工程和安全分析的Web路由框架

Xepor是一款专为逆向分析工程师和安全研究专家设计的Web路由框架，该工具可以为研究人员提供类似Flask API的功能，支持以人类友好的方式拦截和修改HTTP请求或HTTP响应信息。【阅读原文】