各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具，保证大家不错过本周的每一个重点！

热点资讯

1. Meta、YouTube等社交巨头被曝长期监视未成年用户，牟利数十亿美元

根据美国联邦贸易委员会（FTC）工作人员的一份报告显示，社交媒体和视频流媒体公司一直在对用户，尤其是儿童和青少年进行广泛的监控，隐私保护不足，并通过数据货币化每年赚取数十亿美元。

2. 全球蓝屏后，微软决定将安全踢出Windows内核

有消息称，微软正在重新设计EDR与Windows内核的交互方式，以避免再次引发全球蓝屏事件。

3. 美军特战部队首次展示WiFi“网络爆破”新技能

近日，美国军方证实美国陆军特种部队（又名绿色贝雷帽）在5月举行的“快速反应24”军事演习中首次展示了在前线阵地使用攻击性网络安全工具的能力。

4. Discord 推出端到端音频、视频加密通话功能

近日，Discord 推出了 DAVE 协议，这是一个定制的端到端加密 (E2EE) 协议，旨在保护平台上的音频和视频通话免遭未经授权的拦截。

5. BlackByte利用“旧战术”+“新漏洞”助力新一轮攻击

BlackByte是一个发现于2021年中后期的勒索软件即服务（RaaS）组织，随着时间的推移，BlackByte重新设计了其勒索软件二进制文件，用Go、.net、c++或这些语言的组合编写了新版本。

安全事件

1. 对BP机发起网络攻击，为什么可以制造全国性大爆炸？

电影中的剧情照进现实。恶意威胁组织通过对BP机（寻呼机）发起网络攻击，导致黎巴嫩全国范围内的BP机（寻呼机）几乎被同时引爆，造成9人丧生、近2800人受伤。

2. VMware vCenter Server 漏洞让攻击者能够执行远程代码

VMware 披露了两个影响其 vCenter Server 和 Cloud Foundation 产品的关键安全漏洞，这些漏洞可能允许攻击者执行远程代码并提升权限。该公司敦促客户立即修补受影响的系统。

3. 黎巴嫩再发生爆炸事件，这次是对讲机

继9月17日黎巴嫩发生针对真主党的寻呼机爆炸事件后，首都贝鲁特等地于当地时间9月18日傍晚又发生了无线电对讲机爆炸。

4. LockBit 勒索美国在线报税服务平台eFile

臭名昭著勒索软件组织 LockBit 于9 月 18 日将美国在线报税服务 eFile.com 添加至受害者名单，要求在14天内支付赎金。

5. 苹果 Vision Pro 曝出严重漏洞，黑客可通过用户眼动输入窃取信息

近日，苹果公司的 Vision Pro 混合现实头戴式设备曝出一个安全漏洞，一旦被黑客成功利用，他们就可以推断出用户在该设备的虚拟键盘上输入的具体数据。

一周好文共读

1. 延迟退休，该哭该笑？

对于广大的网络安全从业者们来说，延迟退休落地是该哭还是该笑呢？FreeBuf通过小范围的问卷调查活动收集了部分网安人的回答，发现了一些有意思的观点。 【阅读全文】

2. 电力企业 | 安全建设框架

XX电网公司在加快 向数字电网运营商、能源产业价值链整合商、能源生态系统服务商 进行 “三商转型” 战略的指导下，积极推动新型电力系统与数字电网的建设，这一发展进程中，电网面临多种新技术和复杂应用的安全挑战。 【阅读全文】

3. 应急响应 | linux常见应急排查

在进行应急响应时，我们首先需要对系统进行一个全面的排查，发现可能存在问题的点，如是否存在恶意进程，恶意文件等。上篇文章说了win下手工排查时常用的系统命令，本篇文章来看一下linux下常见的应急排查。 【阅读全文】

省心工具

1. SessionExec：一款针对会话安全的安全命令测试工具

SessionExec是一款针对会话安全的安全命令测试工具，该工具允许在 Windows 系统上的其他会话中执行指定的命令，可以针对特定的会话 ID 或所有会话，并可以选择抑制命令输出。 【阅读全文】

2. 如何使用MyJWT测试你的JWT是否存在安全问题

MyJWT是一款针对JSON Web Token（JWT）的安全检测工具，该工具适用于渗透测试人员、CTF 玩家或开发人员，可以快速针对JWT执行安全扫描与检测。 【阅读全文】

3. Dependency Check：一款针对应用程序依赖组件的安全检测工具

Dependency-Check 是一款软件组合分析 (SCA) 工具，可尝试检测项目依赖项中包含的公开披露的漏洞。它通过确定给定依赖项是否存在通用平台枚举 (CPE) 标识符来实现此目的。如果找到，它将生成一份链接到相关 CVE 条目的报告。 【阅读全文】