EternalBlue是美国国家安全局开发的Windows漏洞，2017年被黑客泄露，导致WannaCry等网络攻击。该漏洞利用Windows的SMB协议，允许黑客无需密码入侵系统。防御措施包括更新Windows、禁用SMBv1和使用强防火墙。

微软于3月发布安全更新，修复57个漏洞，其中6个为关键漏洞，51个为重要漏洞。主要漏洞涉及权限提升和远程代码执行，建议用户尽快更新补丁以增强安全性。

美国CISA警告，苹果WebKit浏览器引擎存在零日漏洞CVE-2025-24201，攻击者可利用该漏洞执行未经授权的代码。受影响的设备包括多款iPhone和iPad。苹果已发布更新修复该漏洞，建议用户及时更新设备，避免点击不可信链接，并监控设备行为。

微软修复了自2023年3月以来被黑客利用的Windows NT内核子系统漏洞（CVE-2025-24983），该漏洞影响Windows 10 v1809及更早版本，允许攻击者提升权限进行数据窃取。Windows 11及更新版本不受影响。修复延迟两年因漏洞利用复杂。

GreyNoise警告称，近期出现针对多个平台的服务器端请求伪造（SSRF）漏洞的协同攻击，至少400个IP同时利用多个漏洞，主要目标为美国、德国和新加坡等国。建议用户及时更新补丁、限制外部连接并监控可疑请求。

全球网络安全事件包括Manus代码被越狱、VMware和苹果修复高危漏洞、朝鲜黑客利用npm包植入后门。企业需重视云应用安全和EDR防护，Ballista僵尸网络感染TP-Link设备。

2024年，谷歌向660名安全研究人员支付近1200万美元的漏洞赏金，平均每人1.8万美元。自2010年启动漏洞赏金计划以来，谷歌累计支付6500万美元，并提高了2024年的赏金上限，以加强与安全社区的合作，提升产品安全。

研究人员发现攻击者可以通过利用身份验证流程中的漏洞绕过多因素身份验证（MFA），即使启用MFA也能未经授权访问账户。攻击者通过操纵身份验证响应数据伪装成已完成验证，导致安全团队难以检测。专家建议持续验证MFA状态并关注异常账户活动。

开发和安全团队面临修复漏洞的挑战，许多组织每月修复的漏洞不足16%。CVSS、KEV和EPSS三种框架帮助优先处理漏洞。GitLab 17.9版本支持这些框架，帮助团队评估和优先处理风险。CVSS评估漏洞严重性，KEV关注被利用的漏洞，EPSS预测未来30天内可能被利用的漏洞。结合这三种框架，安全团队能更有效地分配资源，集中处理高风险漏洞。

SolarWinds 的 Web Help Desk 软件存在严重漏洞（CVE-2024-28989），攻击者可利用可预测的加密密钥和 nonce 重用解密敏感凭据。此问题已在 12.8.5 版本中修复。