内容转载

= ̄ω ̄= 内容转载

英特尔已为 90% 的 CPU 推出 Spectre 和 Meltdown 漏洞补丁

本周,英特尔宣布该公司已经为过去五年里发布的九成 CPU 发布了固件更新。补丁旨在缓解 Meltdown 和 Spectre 安全漏洞造成的影响,其使得攻击者查看计算机上的敏感信息,而过去 5~10 年里发布的大多数 CPU 都深受其害。除了英特尔,许多其它软硬件制造商也为自家系统发布了相关补丁。基于数据中心的跑分结果,英特尔声称补丁只会对整体性能造成 0~2% 的影响。 然而某些针对存储性能的测试表明,补丁可能对数据吞吐造成高达 18% 的负面影响。存储性能开发套件(SPDK)测试显示,单核性能的影响甚至可达 25% 。 感兴趣的网友们可以参考 TechSpot 公布的“消费级生产力与游戏性能测试”的对比报告。 即便如此,软硬件厂商们仍需进一步完善。英特尔最近承认,补丁可能导致了更加频繁恼人的系统重启和性能大降,而他们正在着手解决。 此外,即便英特尔发布了补丁和微代码更新,也不等同于用户可以高枕无忧。Meltdown 漏洞可以在系统层面打补丁,而 Spectre 则需要通过更低层级的手段修复(通常需要更新主板的 BIOS 版本)。 换言之,当前根本无法仔细测算有多少机器尚未部署更新。注重安全的用户,可以借助安全专家 Steve Gibson 发布的 InSpectre 工具,来检查他们的计算机是否仍然敞开着漏洞。 最后还有传闻称,近日冒出了叫做 Skyfall 和 Solace 的两种新型攻击。虽然尚未得到证实,但安全研究人员称其仍处于保密阶段,但愿厂商们可以在曝光之前完成修复。 相关新闻: 安全报告:75% 的个人电脑没有及时打上 Spectre 和 Meltdown 补丁 2 代到 7 代酷睿 CPU 打补丁重启 Intel 承诺下周解决 稿源:cnBeta,封面源自网络

一加承认多达 4 万名客户受到信用卡安全漏洞的影响

OnePlus 宣布,最近有 4 万名客户受到安全漏洞的影响,导致该公司在本周早些时候关闭了在线商店的信用卡支付。目前,第三方安全机构正在进行调查导致客户信用卡信息在购买OnePlus产品时被盗的漏洞。 尽管在过去一周内只有信用卡信息被盗用和欺诈性购买的报道,但 OnePlus 表示,自 11 月中旬以来,盗取数据的脚本已经在其中一台支付处理服务器上运行。该脚本能够直接从客户的浏览器窗口中获取完整的信用卡信息,包括卡号,到期日期和安全代码。该公司表示,已经确定了攻击发生的地点,并已经找到攻击者的入口点,但调查仍在进行中。 目前尚不清楚这种攻击是否是远程完成的,或者是否有人物理访问服务器来安装脚本。在一篇详细介绍调查结果的论坛帖子中,OnePlus 表示脚本“间歇性”运行,受感染的服务器已经与系统的其他部分隔离。它还表示,通过已经保存信息的信用卡支付的客户,通过PayPal处理的信用卡或通过PayPal账户支付的客户应该不会受到影响。 OnePlus 发言人表示,遭受攻击的4万名客户仅占其客户总数的一小部分。该公司正在向受影响的客户伸出援手,并免费提供一年的信用监测服务。调查期间还与地方当局合作。信用卡付款将在OnePlus.net商店中保持禁用,直到调查完成,同时客户可以通过 PayPal 购买物品。 OnePlus 表示,它正在努力实施更安全的信用卡付款方式。 上周,OnePlus首席执行官刘佩特告诉 CNET,它正在探索与美国运营商的合作关系,但一位发言人证实,这一安全漏洞不会改变 OnePlus 在线销售策略方面的任何事情。该公司目前还没有计划将其商店转移到亚马逊或其他电子商务平台。 稿源:cnBeta,封面源自网络

NSA 是否能继续进行未经授权的大规模监视将取决于特朗普

2013 年最引人关注的新闻报道之一是来自美国政府的承包商,他们称美国国家安全局(NSA)对公民通讯进行监视。这些报道激起了美国民众对该国情报机构方法的愤慨,并且引起了全世界关于国家安全是否应该以隐私为代价的辩论。 近五年后,美国国家安全局(NSA)准备再次获准继续执行其未经授权的互联网监视计划,只需要很少的改动,这要归功于美国参议院最近通过的一项法案。现在,只有美国总统特朗普签字后国安局才能执行这个任务,他可以选择制定或否决。 美国众议院和参议院都在半年之内错过了遏制国家安全局监督权力的第一次机会。众议院此前投票驳回了一项修正案,这项修正案要求美国国安局等情报机构在收集有关公民的数据之前需要获得授权令。 在数天前的一篇推文中,特朗普引用了“国外情报监视法”(FISA)作为允许他的竞选被窥视的手段之一 – 这可能导致人们相信他不会支持该法案: 即使他的指控是在没有支持证据的情况下提出的,但这仍然可能被认为是对该法案缺乏信心。然而,他后续的推文表明他的意见可能恰恰相反: 稿源:cnBeta,封面源自网络

英特尔公布安全漏洞修复补丁带来的性能衰减详情

本周三英特尔召开发布会,正式透露在修复安全漏洞的补丁更新后计算机的性能衰减详情。英特尔强调修复补丁对于计算机性能的影响取决于工作负载和配置,此次性能影响将对运行着高负载老旧芯片型号会受巨大影响,而运行 Windows 10 系统的最新芯片的性能影响会微乎其微。 英特尔表示,它在服务器平台上进行了一系列测试,发现通常由企业和云客户执行的常见工作负载的影响可能会达到2%。数据中心集团总经理纳辛·谢诺( Navin Shenoy )解释说,根据模拟经纪公司客户经纪人与证券交易所互动的模拟线上交易处理( OLTP )基准,这一性能衰减可能达到 4%。而对处理大数据量的服务器的性能影响情况尤其严重,英特尔称这些配置的性能影响可高达 25%, 英特尔官员还补充说,该公司正在与合作伙伴合作,降低补丁对性能的影响,Google 的解决方案在这方面可能派上用场。 稿源:cnBeta,封面源自网络;

美国禁止政府机构等使用中国通讯产品 商务部回应

美国政府上周提出 “ H.R.4747,保护美国通讯法案 ”,禁止政府机构及其相关单位使用中国公司的通讯产品。对此,商务部新闻发言人高峰指出,这在某种程度上对市场发出了一个错误的信号,不利于中美信息通讯产业的合作,也动摇了中国企业对美国营商环境、投资环境的信心。 商务部今日举行例行新闻发布会。有记者问,美国政府担忧中国通讯厂商的政府背景,在上周提出 “ H.R.4747,保护美国通讯法案 ”,禁止政府机构及其相关单位使用中国公司的通讯产品,请问商务部有何评论? 高峰就此指出,商务部注意到美国国会的个别议员提出的这项议案。商务部认为,这在某种程度上对市场发出了一个错误的信号,不利于中美信息通讯产业的合作,也动摇了中国企业对美国营商环境、投资环境的信心。 他表示,希望美方一些人能够真正从消费者的角度出发,客观、公正的对待中国企业和中国产品,努力营造更加开放、公正、透明、便利的市场环境,从而让美国广大消费者真正从中受益。 稿源:新浪科技,封面源自网络;

甲骨文发布关键补丁 修复英特尔芯片漏洞

据国外媒体报道,甲骨文公司周二表示发布了一个关键补丁,为其某些产品修复英特尔公司芯片漏洞。 该公司在其网站上说,这个关键补丁包含了多个 Oracle 产品中的 237 个新的安全修复程序。 另外,技术网站 The Register 报道,引用 Oracle 客户专用门户网站上的一篇文章说,SPARCv9 上某些版本的 Oracle Solaris 受到其中一个名为 Specter 的芯片缺陷的影响,该公司正在为其开发一个安全补丁。目前甲骨文拒绝就此报道发表评论。 稿源:新浪科技、TechWeb,封面源自网络;

Facebook 将对俄罗斯可能干预英国脱欧一事展开新一轮调查

据外媒报道,当地时间周三,Facebook 在写给一英国议会委员会的信件中指出,由于英国议员对公司在上个月提供的调查结果不满意,他们将对俄罗斯是否存在干预英国脱欧公投一事展开新的调查。 去年 10 月,议会委员会主席 Damian Collins 致信给 Facebook CEO 扎克伯格,要求后者提供跟其共享给美国政府关于俄罗斯干预大选材料类似的材料。 英国议员担心,俄罗斯可能在去年举行的英国脱欧公投也掺了一脚。Facebook 上月提供的调查报告显示俄罗斯黑客跟英国脱欧只存在少量关系。 而在周三的信件中,Facebook 英国政策主管 Simon Milner 表示,他们接下来将调查在公投期间是否存在其他类似群体干预的情况。据悉,新一轮的调查将可能需要几周时间。 稿源:cnBeta,封面源自网络;

因被怀疑为庞氏骗局 Bitconnect 交易平台被迫关闭

据媒体报道,Bitconnect 作为一个长期以来被许多人怀疑是庞氏骗局的借贷和交易平台,现在宣布即将关闭。 Bitconnect 在其网站上发布声明称,平台关闭之所以关闭是因为饱受 “ 持续的负面新闻 ”,并且收到来自德克萨斯州和北卡罗来纳州的证券委员会要求平台停止运营的信件,同时该平台还持续受到 DDoS 攻击。 虽然说该融资平台称它们将以 363.62 美元(代币在过去 15 天的平均价格水平)的价格退回所有贷款,但 Bitconnect 代币目前交易低于 80%,并且价值低于 40 美元。因此,尽管用户可能已经提前赎回所有加密货币,但从美元或比特币(这是他们原始投资)来看,肯定有很多人遭受严重的经济损失。 许多加密货币社区的人公开指责 Bitconnnect 运营一个庞氏骗局,其中就包括以太网站创始人维塔利克·布特林。 Bitconnect 通过发行一种名为 BCC 的加密货币(不要与 BCH 或 Bitcoin Cash 相混淆),由于交易平台已经关闭,它现在基本上是没有任何意义的。最后,该代币的价格从几小时前的 200 多美元跌到了 37 美元,跌幅超过 80% 。 Bitconnect 是一个匿名运行的网站,用户可以将其加密货币借给公司,以换取巨额回报,这取决于贷款的期限。例如,1 万美元贷款 180 天,据说每月会给用户 40% 的回报,每天有 20% 的奖金。 Bitconnect 还有一个蓬勃发展的多层次转诊功能,这也使得它有点类似于一个金字塔结构,成千上万的社交网络用户都试图使用他们的推荐代码来驱动新用户注册。 该平台表示,它使用 Bitconnnect 交易机器人和“波动性交易软件”为用户生成回报,平均每天约为 1%。 当然,从市场波动和反复无常中获利是一种合法的交易策略,有许多对冲基金和机构交易员都在使用。但是Bitconnect 承诺(和支付)的数额,以及保证的回报数额,让许多人相信这是一个庞氏骗局,它们用新抵押贷款支付现有的贷款利息。 下面的图表将决定使用该平台的用户数量。 所有 Bitconnect 贷款都以美元为单位,但必须以 BCC (该平台的原生加密货币)进行交易。因此,贷款用户必须将比特币存入平台,然后以市场利率将比特币兑换成 BCC。贷款利息和本金也只以 BCC 中支付。这意味着在贷款期限结束后,用户将不得不将其转换回比特币(或是美元)。 BCC 参与贷款计划的要求导致了 BCC 的需求(和价格)自然增长。在不到一年的时间里,这个加密货币的价值从低于1美元(以百万计的市值)上升到有史以来最高的 430 美元,市值超过了 2.6 亿美元。 但是现在,由于没有其他用途,其价格可能会继续下跌。该公司确实表示,他们的 Bitconnect X 交易平台的 ICO 仍会继续,而 BCC 加密货币交易将继续在那里进行。 稿源:cnBeta、TechWeb,封面源自网络;

牛津新研究公布暗网毒品网络地理地图

网络空间的肮脏面 “ 暗网 ” 更像是违禁品的跳蚤市场。牛津大学最近发布了暗网毒品调查研究及视觉地图,此项调查使用的数据为研究团队通过暗网爬虫收集的暗网毒品交易相关匿名评论,在暗网上的三类违禁毒品(可卡因、大麻、鸦片类药物)的网络地理视觉图:包括产区、贸易、销售三种地图。研究团队试图通过此揭示暗网毒品网络与地理关系之间的联系。 通过对这些数据库标识符建立起索引,团队制作了清晰明了的暗网毒品网络产区(种植)、贸易地点(地理位置)和消耗地(出货目的地)的视图。根据信息揭示,暗网中三类毒品的产地和出货地通常在不同的区域。事实上,毒品如何从一个大陆销售至另一个大陆的模式,新兴的暗网销售体系和传统毒品体系非常接近。而鸦片类药物的贸易则区别于传统模式,研究人员无法对此得出总结性结论。 科学家在论文中写道: 此项研究通过对基本元素的识别进行了调查,这能够基于整体毒品供应链的已知地理模式来揭示毒品贸易量,但假设模型有些过于简单,导致其不能够具体解释鸦片类药物的贸易地理模式,以及其它类别的毒品品类。 该项研究揭示美国、英国、德国、荷兰以及澳洲的暗网毒品消耗量非常大,是暗网五大毒品消费国,但目前研究组由于数据不足无法通过毒品消费对毒品生产和运输进行经济学方面的影响性研究。 稿源:cnBeta,封面源自网络;

网络现 Meltdown/Spectre 假升级:实为恶意软件

据外媒报道,Windows 用户现正沦为虚假 Meltdown 和 Spectre 升级的受害者。安全公司 Malwarebytes 警告称,假补丁虽然主要针对的是德国用户,但其非常容易被修改进而追踪到英文用户。这个虚假的 Meltdown 和 Spectre 升级文件是一个叫 Intel-AMD-SecurityPatch-10-1-v1 的 exe 文件,其在一个遭到网络攻击的主机上安装了 Smoke Loader。 Smoke Loader 则是一种恶意软件,它能打开更多有效载荷的门,而这些未来可被用到多种场合,包括窃取凭证和其他敏感数据。 Malwarebytes 解释称,一旦该恶意软件感染了电脑,那么它就会尝试连接到数个俄罗斯域名并向其发送加密信息。 而部有恶意补丁的网站链接跟其他恶意软件传播方式类似,比如电子邮件、短信等途径。所以对于用户们来说最好的办法就是通过官方网站下载,而不是任何第三方来源。微软已经就这两个漏洞发布了升级,并且已经随 Windows Update 推送或通过 Update Catalog 手动下载。 目前,反病毒解决方案正在开发中,但不管怎样作为用户最好是远离那些不能信任的内容以及未知来源。 稿源:cnBeta、封面源自网络;