各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具，保证大家不错过本周的每一个重点！

1. 酒店巨头米高梅遭受勒索软件攻击

全球娱乐和酒店业巨头米高梅国际酒店集团（MGM Resrts International）遭到勒索软件攻击，其网站、预订系统和酒店电子钥匙卡系统受到严重影响。

2. 划重点！CISA、FBI、NSA 联合发布深度伪造威胁网络安全报告

美国国家安全局（NSA）、联邦调查局（FBI）、网络安全和基础设施安全局（CISA）联合发布了一份网络安全信息表（CSI），以应对深度伪造所带来的新威胁。

3. 警报：新的 Kubernetes 漏洞可对 Windows 端点实施远程攻击

研究人员在 Kubernetes 中发现的三个可被利用并相互关联的高危安全漏洞，这些漏洞可在集群内的 Windows 端点上以提升权限的方式实现远程代码执行。

4. Intel 芯片的 Mac 电脑需注意，新型恶意软件能窃取系统中的各类密码

一种名为“MetaStealer”的新型信息窃取恶意软件可以从基于 Intel 芯片的 macOS 系统电脑中窃取各种敏感信息。

5. 面临安全危机！AI 聊天机器人领域兴起“越狱潮”

网络安全公司 SlashNext 发现如今的 AI 聊天机器人出现了一种令人担忧的情况，有用户利用 AI 聊天机器人系统漏洞进行"越狱"操作，这违反了道德准则和网络安全协议。

1. Mozilla 紧急修补 Firefox 和 Thunderbird 中的 WebP 严重零日漏洞

Mozilla 布了安全更新，修复了 Firefox 和 Thunderbird 中的一个关键零日漏洞。该漏洞被标记为 CVE-2023-4863，是 WebP 图像格式中的堆缓冲区溢出漏洞，在处理特制图像时可能导致任意代码执行。

2. Facebook 惊现网络钓鱼浪潮，每周攻击 10 万个账户

某黑客组织通过一个伪造和受损的 Facebook 账户网络，发送数百万条 Messenger 钓鱼信息，利用密码窃取恶意软件攻击 Facebook 企业账户。

3. 逛公园还能防诈骗，上海首个网安主题公园来了！

本月，上海首个网络安全主题公园正式面向群众开放。位于青浦区徐泾镇虹泾鑫汇园的“网安基地”——网络安全主题公园成为周边社区百姓最新的“打卡点”。

4. 为监控用户，纽约警方花费数百万美元抓取社交媒体数据

美国纽约警方为了监视社交媒体上的用户及内容，花费数百万美元与一家曾被指控不当抓取平台数据的监控公司签订了合同。

5. 调查称全球多所顶尖高校网站存在网络攻击风险

全球多所顶尖高校的网站因未能及时更新安全补丁，存在敏感信息数据泄露，甚至被攻击者全面接管的风险。

1. 企业安全之浅谈 DevSecOps

前面写了一篇关于 SDL 实践方面文章，但是目前越来越多的公司开始转向了devsecops体系的建设，看了一些关于这方面的文章，浅谈一下自己的理解。devsecops 说白了就是 devops+sec，在 devops 的开发流程下嵌入安全。

2. 2023 年 DDoS 攻击现状及趋势报告

安全防护公司 Zayo 发布了《2023 年 DDoS 攻击现状及趋势报告》，通过分析 14 个行业和地区的客户所经历的 70000 多个威胁检测和缓解，揭示了哪些行业正在受到攻击、攻击发生的频率、每次攻击持续的时间以及攻击的规模等内容，旨在帮助组织更好地应对此类威胁。

3. 超详细分享 | 你真的懂零信任么？

本文将对零信任技术做一个详细的讲解，通过此文，你可以深刻理解零信任的本质以及规避掉自己过去的一些认知误区。

1. 如何利用 Kurukshetra 以交互式的方式学习如何进行安全编码

Kurukshetra 是一款功能强大的开源框架，该框架的主要目标就是通过交互式的问题解决方式来告诉广大研究人员或开发人员如何能够更好地实现安全编码。Kurukshetra 本质上是一个 Web 框架，并未托管合理复杂的安全编码挑战提供坚实的基础，同时仍然能够根据用户输入高效动态地在安全的沙盒环境中执行每个挑战。

2. WSSAT：一款功能强大的 Web 服务安全评估与审计工具

WSSAT 是一款功能强大的 Web 服务安全评估与审计工具，该工具完全开源，并给广大研究人员提供了一个动态环境，即只需要编辑其配置文件即可添加、更新或删除漏洞。该工具接受 WSDL 地址列表作为输入文件，并且针对每个服务都会对其中潜在的安全漏洞执行静态和动态测试。值得一提的是，该工具还会给我们指定好信息披露控制措施。在该工具的帮助下，所有的网络服务不仅都可以同时进行分析，而且组织还可以看到网络系统整体的安全评估。

3. 如何使用 Gitmails 在版本控制主机中收集 Git 提交邮件

Gitmails 是一款能够在 Git 版本控制主机服务中收集 Git 提交电子邮件的信息收集工具，该工具可以帮助广大研究人员扫描和识别 Git 提交中包含的作者名称、电子邮件配置和版本控制主机服务是否存储了多个项目。

【FreeBuf粉丝交流群招新啦！

在这里，拓宽网安边界

甲方安全建设干货；

乙方最新技术理念；

全球最新的网络安全资讯；

群内不定期开启各种抽奖活动；

FreeBuf盲盒、大象公仔......

扫码添加小蜜蜂微信回复“加群”，申请加入群聊】