12月15日安全动态：Windows LNK漏洞、VSCode恶意扩展与固件逆向分析

Windows LNK 文件 UI 误导导致远程代码执行漏洞分析
https://cxsecurity.com/issue/WLB-2025120015
安全研究人员披露了一个影响多版本Windows系统的LNK文件UI欺骗漏洞（CVE-2025-9491）。攻击者能够构造外观合法的快捷方式文件，在用户无感知的情况下执行任意代码，其隐蔽性极高，对现有安全防御机制构成了严重挑战。

DrayTek Vigor3910 工业路由器固件解密与逆向分析：CVE-2024-41592/23721漏洞复现 - IOTsec-Zone
https://www.iotsec-zone.com/article/524
本文详细拆解了Draytek路由器固件的加密机制，揭示了其使用硬编码ChaCha20密钥和Nonce的安全缺陷。通过逆向工程与构建模拟环境，研究人员成功解密并运行了加密固件，为固件安全分析提供了实用的技术路径。

通过 md-to-pdf 的 Front Matter 漏洞实现远程代码执行（CVE-2025-65108 分析）
https://hackyboiz.github.io/2025/12/13/bekim/2025-12-13/
文章深入分析了Node.js工具md-to-pdf中因不当处理YAML front-matter而引发的远程代码执行漏洞（CVE-2025-65108）。攻击者可通过特制的Markdown文件，在PDF转换过程中执行任意JavaScript代码，这对使用此类工具的开发者具有重要的安全警示意义。

V8 引擎漏洞 CVE-2025-6554 分析及新型 the_hole 泄漏技术研究
https://www.freebuf.com/articles/vuls/458403.html
该分析聚焦于V8引擎中的一个新型the_hole值泄漏漏洞CVE-2025-6554。漏洞根源在于Ignition字节码生成器中的作用域生命周期管理缺陷，研究者揭示了利用此缺陷的创新攻击路径，深化了业界对JavaScript引擎内部安全机制的理解。

通过屏幕像素复兴'Blinkenlights'技术提取智能手表固件
https://cybersecuritynews.com/researchers-revive-2000s-blinkenlights-technique/
研究人员巧妙地将一种有20年历史的“Blinkenlights”攻击方法与现代硬件结合，成功从一款廉价智能手表中提取出完整固件。这项研究凸显了嵌入式设备在硬件层面可能存在的设计疏漏，即使用户无法直接物理访问存储芯片，攻击者仍可能通过非传统渠道获取敏感信息。

VSCode Marketplace恶意扩展通过伪造PNG文件隐藏特洛伊木马
https://www.bleepingcomputer.com/news/security/malicious-vscode-marketplace-extensions-hid-trojan-in-fake-png-file/
安全团队发现了一起针对VSCode扩展市场的隐蔽攻击活动。恶意扩展通过捆绑恶意依赖项，并将后门程序伪装成PNG图像文件来逃避检测，以实现持久化控制。这一事件再次突显了软件供应链安全的极端重要性。

Ivanti EPM 存储型 XSS 漏洞（CVE-2025-10573）
https://sectoday.tencent.com/event/lDRqCJsBzXSmEGIINmRw
CVE-2025-10573是Ivanti终端管理平台（EPM）中的一个高危存储型跨站脚本漏洞。未经认证的攻击者可通过incomingdata API向管理员仪表板注入恶意脚本，从而可能劫持管理员会话并执行任意操作。该漏洞影响EPM 2024 SU4及更早版本，已于2025年12月9日发布的EPM 2024 SU4 SR1中修复，由Rapid7的研究员Ryan Emmons发现并披露。