2025-12-23 15:59:39 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文汇总了多项关键安全动态，包括Linux内核首个Rust竞态漏洞、PLC二进制盲信漏洞及内核元数据利用研究。重点通报了NVIDIAIsaacLab严重反序列化漏洞与PCIe5.0加密缺陷，并介绍了针对LLM越狱的FuzzLLM框架、DevPhish供应链攻击以及汽车芯片远程代码执行风险。 综合评分： 86 文章分类： 漏洞预警,漏洞分析,二进制安全,AI安全,车联网安全

cover_image

每日安全动态推送(25/12/22)

原创

admin

腾讯玄武实验室

2025年12月22日 19:27 北京

• Linux内核首个Rust漏洞：Android Binder中的关键竞态条件分析 https://www.reddit.com/r/theprimeagen/comments/1pp3fs2/linux_kernels_first_rust_cve_a_race_condition_in/

本文首次揭示了Linux内核中Rust代码出现的第一个CVE漏洞，该漏洞源于Android Binder驱动中的竞态条件问题。其最大亮点在于深入分析了Rust语言在‘安全代码’中仍可能引发并发问题，为安全语言在内核开发中的应用提供了重要警示。

• 通过状态机恢复发现PLC二进制文件中的盲信漏洞 https://yancomm.net/papers/2026%20-%20NDSS%20-%20Taveren.pdf

本文提出了一种名为Ta’veren的新框架，能够直接从PLC二进制文件中恢复有限状态机并识别‘盲信漏洞’，无需依赖固件重宿主或源代码，解决了当前工业控制系统安全分析中的关键难题。

• 重振废弃漏洞：通过控制元数据字段利用此前不可利用的Linux内核漏洞 https://lujie.ac.cn/files/papers/MetaXploit.pdf

本文提出了一种全新的方法，通过操控Linux内核对象中的控制元数据字段（CMF）来实现对原本被认为不可利用的弱原语漏洞的攻击升级，成功挑战了传统漏洞可利用性判断的局限性，为内核安全研究提供了新视角。

• DevPhish：探索针对开发者的软件供应链攻击中的社会工程学手段 https://arxiv.org/html/2402.18401v1

本文深入探讨了针对软件开发者的供应链攻击中社会工程学的应用，提出了‘DevPhish’这一新术语，揭示了攻击者如何利用开发者心理弱点在SDLC关键环节植入恶意代码。该研究填补了当前供应链安全研究中对人为因素关注不足的空白，对威胁建模和安全分析具有重要参考价值。

• NVIDIA Isaac Lab 反序列化漏洞 https://sectoday.tencent.com/event/1zfRK5sBzXSmEGIIuRwB

NVIDIA 在其 Isaac Lab 框架中发现了一个严重的反序列化漏洞（CVE-2025-32210），攻击者可利用该漏洞在受影响系统上远程执行任意代码。该漏洞 CVSS 评分为 9.0，被归类为“严重”级别，影响所有 Isaac Lab v2.3.0 之前的版本。NVIDIA 已发布安全补丁 v2.3.0，并建议用户立即升级以防止潜在风险，例如数据窃取、系统操控和恶意负载部署。

• FuzzLLM：一种新型通用的模糊测试框架，用于主动发现大语言模型中的越狱漏洞 https://arxiv.org/abs/2309.05274

本文提出了FuzzLLM，一个通用且高效的模糊测试框架，用于主动发现大型语言模型中的越狱漏洞。其最大的亮点在于通过模板化和约束隔离，自动化生成多样化的攻击性提示，显著提升了漏洞检测的效率和全面性。

• PCIe 5.0+ 平台新加密漏洞暴露数据完整性风险 https://cybersrcc.com/2025/12/18/new-pcie-encryption-flaws-leave-pcie-5-0-platforms-vulnerable-to-data-integrity-failures/

本文揭示了PCIe 5.0及以上版本中IDE加密实现的重大漏洞，可能导致数据完整性受损和系统不稳定。这一发现对当前依赖高速PCIe连接的企业、云计算和AI平台构成直接威胁，是当前硬件安全领域的重要进展。

• 黑客通过内置调制解调器漏洞攻击汽车仪表盘 https://cyberpress.org/car-dashboard-hacking/

本文揭示了车载芯片Unisoc UIS7862A中多个关键漏洞，攻击者可通过3G协议实现远程代码执行并最终控制车辆系统，突显出车联网安全的紧迫性，是当前汽车网络安全领域的重要研究成果。

* 查看或搜索历史推送内容请访问： https://sectoday.tencent.com/ * 新浪微博账号：腾讯玄武实验室 https://weibo.com/xuanwulab * 微信公众号：腾讯玄武实验室

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：腾讯玄武实验室 admin《每日安全动态推送(25/12/22)》