文章总结： 本周FreeBuf周报报道了多个重大安全事件，包括Chrome浏览器八大0Day漏洞、React2Shell漏洞被用于部署Linux后门、苹果WebKit漏洞针对特定iPhone用户、微软DWM越界漏洞等。同时，暗网Omertà市场因IP泄露关停，SHADOW-VOID-042组织冒充趋势科技发起钓鱼攻击，军用级ValleyRAT工具泄露引发全球攻击激增，新型01flip勒索软件袭击亚太关键基础设施。建议用户及时更新系统和应用程序，警惕钓鱼攻击，加强安全防护措施。 综合评分： 86 文章分类： 漏洞分析,威胁情报,漏洞预警,应急响应,安全大事件

---

FreeBuf周报 | 2025年Chrome浏览器八大0Day漏洞；攻击者利用React2Shell漏洞部署Linux后门

FreeBuf

2025年12月20日 18:03 上海

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！

🌐2025年Chrome浏览器0Day漏洞全面分析：八大高危漏洞遭利用

💻攻击者利用React2Shell漏洞部署Linux后门程序，日本成重点攻击目标

🍎苹果0Day漏洞遭利用，针对特定iPhone用户发起复杂攻击

🖥️微软桌面窗口管理器越界漏洞可导致攻击者权限提升

📶暗网Omertà市场因真实服务器IP泄露被迫关停

🎣SHADOW-VOID-042组织冒充趋势科技发起钓鱼攻击，意图渗透关键基础设施

🚨未修复的Windows RasMan漏洞允许非特权用户触发崩溃，实现本地系统提权攻击

🔐React Server Components新漏洞可导致拒绝服务攻击与源代码泄露

🌏军用级ValleyRAT失控：内核Rootkit构建工具泄露引发全球攻击激增

⚔️新型01flip勒索软件袭击亚太关键基础设施：基于Rust的跨平台武器搭载Sliver C2框架

#

2025年Chrome浏览器0Day漏洞全面分析：八大高危漏洞遭利用

2025年全年，谷歌紧急修复了影响Chrome浏览器的八个遭主动利用的0Day高危漏洞，这些漏洞平均CVSS评分达8.5分，已被列入美国网络安全和基础设施安全局（CISA）已知被利用漏洞目录，全球数十亿用户面临威胁。

攻击者利用React2Shell漏洞部署Linux后门程序，日本成重点攻击目标

#

黑客利用高危漏洞React2Shell传播KSwapDoor和ZnDoor恶意软件，具备隐蔽通信和休眠功能，主要攻击日本机构。多组织利用CVE-2025-55182漏洞投放多种后门，窃取云凭证并横向移动。Next.js漏洞被用于大规模数据窃取，超11万IP受影响，美国最严重。

#

苹果0Day漏洞遭利用，针对特定iPhone用户发起复杂攻击

#

#

#

苹果修复两个WebKit 0Day漏洞（CVE-2025-43529和CVE-2025-14174），影响iPhone 11及以上机型及部分iPad，攻击者可通过恶意网页执行任意代码。iOS 26.2和iPadOS 26.2已修复漏洞，建议用户立即更新。

#

#

#

微软桌面窗口管理器越界漏洞可导致攻击者权限提升

微软已确认桌面窗口管理器（DWM）中存在一个严重的越界漏洞，该漏洞允许本地攻击者在受影响的Windows系统上将权限提升至SYSTEM级别。该漏洞编号为CVE-2025-55681，存在于dwmcore.dll组件中，影响全球范围内的Windows 10、Windows 11及相关服务器版本。

暗网Omertà市场因真实服务器IP泄露被迫关停

#

#

#

#

#

暗网平台Omertà Market因技术缺陷迅速关闭，暴露运营者忽视安全，共享基础设施导致匿名性瓦解，凸显业余运营将利润置于技术严谨之上的风险。

SHADOW-VOID-042组织冒充趋势科技发起钓鱼攻击，意图渗透关键基础设施

黑客组织SHADOW-VOID-042冒充趋势科技发起定向钓鱼攻击，针对国防、能源等关键机构，伪造安全通告诱导点击恶意链接。攻击采用多阶段定制策略，与Void Rabisu手法相似，混合新旧漏洞利用技术，可能选择性使用0Day漏洞攻击高价值目标。

未修复的Windows RasMan漏洞允许非特权用户触发崩溃，实现本地系统提权攻击

研究人员发现Windows远程访问连接管理器（RasMan）存在未修复漏洞，允许非特权用户崩溃服务，结合已修复漏洞可提权至Local System。0patch已发布微补丁修复该漏洞，覆盖多个Windows版本。

React Server Components新漏洞可导致拒绝服务攻击与源代码泄露

#

#

#

#

React团队披露三个新安全漏洞，影响Server Components，包括DoS攻击和源代码泄露风险。此前补丁不完整，需立即升级至19.0.3、19.1.4或19.2.3版本。漏洞涉及react-server-dom-webpack等软件包，Next.js等框架用户可能受影响。

军用级ValleyRAT失控：内核Rootkit构建工具泄露引发全球攻击激增

#

#

#

#

军用级恶意软件ValleyRAT因构建工具泄露在全球扩散，其内核级Rootkit可绕过Windows 11防护，溯源难度剧增，已从专属武器演变为公开威胁框架，引发全球网络安全危机。

新型01flip勒索软件袭击亚太关键基础设施：基于Rust的跨平台武器搭载Sliver C2框架

#

#

#

#

#

新型勒索软件组织使用Rust编写的跨平台工具”01flip”，针对亚太关键基础设施，结合人工入侵与Sliver框架横向移动，可能关联LockBit团伙，凸显现代编程语言对防御的挑战。

本周好文推荐指数

#

解锁 Edge 密码宝库：内网取证与横向渗透的技术拆解

#

#

Microsoft Edge以加密方式存储用户密码、Cookie 和敏感令牌，依赖 Windows 的 DPAPI和 OSCrypt 机制来保护数据。这听起来很安全，但实际场景中，攻击者常通过内存提取、DPAPI 主密钥窃取或会话劫持来解密这些凭据，进而实现内网横向移动。本文深入剖析 Edge 的凭据存储机制，结合取证、红队和蓝队视角，拆解如何采集证据、复现攻击链以及设计防御策略。

#

小程序解包反编译探究

#

#

对于经常接触微信小程序渗透的朋友和开发者，应该有所了解：加载小程序前，会预先得到一个小程序项目打包编译好的 wxapkg 文件，随后根据用户的反馈来动态加载对应的资源页面；也有可能根据用户的反馈互动来缓存已接收的内容，可以避免频繁请求消耗。通过对 wxapkg 文件的分析，或许可以通过该文件还原小程序项目的代码结构。

从“记住我”到“控制我”：Shiro默认密钥反序列化攻击详解

#

#

#

Shiro 提供了完整的会话管理实现，支持将会话数据持久化到各种存储介质。在 Web 场景下，Shiro 通常将会话标识（Session ID）存储在 Cookie 中，而完整的会话数据则可能被序列化后存储或传输。

---

#

#

#

推荐阅读

#

电台讨论

#

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《FreeBuf周报 | 2025年Chrome浏览器八大0Day漏洞；攻击者利用React2Shell漏洞部署Linux后门》