•  利用多播中毒进行预认证的Kerberos中继攻击
https://www.synacktiv.com/publications/abusing-multicast-poisoning-for-pre-authenticated-kerberos-relay-over-http-with.html

本文介绍了一种新颖的网络钓鱼攻击方法，通过滥用多播中毒技术实现HTTP上的预认证Kerberos中继。这是对现有DNS和SMB上Kerberos中继研究的重要补充，展示了在特定环境下利用HTTP进行身份验证信息窃取的新途径。

•  Google Project Zero揭示Windows中通过IDispatch接口访问陷阱COM对象的安全漏洞
https://cybersecuritynews.com/new-windows-vulnerability-in-com-objects/

谷歌Project Zero的詹姆斯·福肖揭示了Windows中与通过IDispatch接口访问被困COM对象相关的重大安全漏洞。本文详细分析了一种新颖的bug类别，该类利用面向对象远程技术中的跨进程通信特性，可能使攻击者在更高权限的服务进程中执行代码。

•  DSL-3788路由器存在未认证远程代码执行漏洞
https://cybersecuritynews.com/d-link-routers-attackers-router-remotely/

本文揭示了DSL-3788路由器中一个关键的未认证远程代码执行漏洞，该漏洞允许攻击者远程完全控制路由器。文章详细介绍了漏洞的位置、影响范围以及可能带来的严重后果，强调了及时软件更新和主动管理漏洞在网络设备安全中的重要性。

•  被遗弃的Amazon S3存储桶中的关键安全漏洞
https://cybersecuritynews.com/abandoned-aws-s3-buckets/

本文揭示了废弃的Amazon Web Services（AWS）S3存储桶中存在关键安全漏洞，攻击者可能借此劫持全球软件供应链。这一发现强调了忽视云存储资源可能导致大规模网络攻击的风险，其潜在影响甚至超过SolarWinds事件。

•  微软Windows OLE技术中发现关键安全漏洞CVE-2025-21298
https://cybersecuritynews.com/critical-windows-ole-zero-click-vulnerability/

本文揭示了微软Windows对象链接和嵌入（OLE）技术中的关键安全漏洞CVE-2025-21298，这是一个零点击远程代码执行漏洞，通过恶意的RTF邮件附件即可在无需用户交互的情况下触发，对使用Outlook的企业构成了严重威胁。

•  Go 生态系统中发现恶意 typosquat 包：BoltDB 的安全威胁
https://socket.dev/blog/malicious-package-exploits-go-module-proxy-caching-for-persistence

本文揭示了首个利用Go模块镜像缓存机制的恶意软件案例，攻击者通过替换标签和使用混淆库名的方式，在不被手动审查发现的情况下植入后门。这一事件突显出开发者社区需警惕类似持久性策略，并加强对已缓存模块版本的安全监测。

•  AMD SEV技术中的高危漏洞允许恶意CPU微码注入
https://cybersecuritynews.com/amd-sev-vulnerability-allows-microcode-injection/

本文揭示了AMD在其安全加密虚拟化技术中的一项高严重性漏洞，该漏洞可能允许具有管理权限的攻击者注入恶意CPU微码。这是对当前虚拟机保护机制的重大挑战，突显出即使在高度安全的技术环境下，签名验证的重要性。

* 查看或搜索历史推送内容请访问：
https://sectoday.tencent.com/
* 新浪微博账号： 腾讯玄武实验室
https://weibo.com/xuanwulab
* 微信公众号： 腾讯玄武实验室