分类: 漏洞事件

英特尔芯片漏洞背后:已与其它公司应对数个月

据媒体报道,计算机芯片被曝存在安全漏洞,乍看之下似乎给英特尔带来了一场突如其来的危机,但在这背后它和其它的科技公司以及专家其实对付该问题已经有数个月。今天,苹果成为了最新一家承认受到芯片漏洞影响的科技巨头。该公司表示,所有的 iPhone、iPad 和 Mac 电脑都受到影响,公司已经发布更新来修复漏洞。 英特尔、它的主要竞争对手 AMD 以及芯片设计厂商 ARM 本周均称,它们的部分处理器存在可能会被黑客利用的安全漏洞,这一问题影响电脑、智能手机和其它设备所使用的各种芯片,但到目前为止与任何的黑客攻击事件都无关联。 在芯片漏洞本周被曝光以前,芯片厂商们以及它们的客户和合作伙伴,包括苹果、Alphabet 旗下的谷歌、亚马逊和微软,就已经在加紧解决问题。一个由大型科技公司组成的联盟在联手保护它们的服务器,并向用户的计算机和智能手机提供补丁。 所涉的漏洞可能会让黑客能够窃取诸如密码的敏感信息,影响范围包括来自各家公司的多数现代芯片。但主导服务器和 PC 芯片市场的英特尔受到了最为直接的影响,它的股价连续两天出现下跌。 去年 6 月 1 日,谷歌 Project Zero 安全团队的一位成员告知英特尔和其它的芯片厂商漏洞的问题。即便早早就知道,英特尔等公司也仍在努力解决安全漏洞。一个问题在于,将安全更新推送到数十亿部设备。另一个问题在于,部分安全补丁可能会减慢设备的运行,因为那些漏洞影响到意在提高处理器运行速度的芯片功能。 截至周四,各家企业都表示没有发现利用芯片漏洞的黑客攻击证据。要是黑客真那么做,那他们很可能会去攻击英特尔制造的芯片。那是因为该公司是全球第一大微处理器厂商,其芯片内在的漏洞至少可以追溯到 10 年前。 该问题引发了人们对英特尔产品安全性的怀疑,众多客户需要采取行动保护自身的系统。它也凸显了一点:芯片和运行于芯片的软件日益复杂化,让它们变得难以锁定,同时也使得它们会隐藏数年未被发现的漏洞。 “人们在重新评估现代硬件安全属性的核心原则。我们的很多假定都被违反了,需要重新进行评估。”安全研究者科恩·怀特(Kenn White)指出。 不过,在科技战略研究公司 Tirias Research 的吉姆·麦克格雷格(Jim McGregor)看来,英特尔受到的影响可能会很有限。“ 当你掌控很大一部分市场,你广泛地覆盖客户的时候,你能够逃脱惩罚。” 他说道。 英特尔说,预计到下周末,它就能向过去 5 年推出的 90% 以上处理器提供软件更新。 其它的公司已经发布补丁。苹果称,除了它的移动设备和电脑以外,Apple TV 电视机顶盒也受到影响,Apple Watch 智能手表倒没受影响。它还说,为苹果 Safari 网络浏览器解决 Spectre 漏洞的补丁预计将在未来几天发布。 苹果指出,它的补丁不会造成设备运行变慢。谷歌周四也表示,它所开发的补丁“对设备性能的影响可以忽略。”英特尔称,对于普通用户来说,任何性能减退都会很有限,且会随着时间的推移而慢慢消失。它还说,公司计划在一年内重新设计芯片,预计此次安全问题不会带来任何的财务影响。 周四,英特尔股价下跌到 44.43 美元,较周二的收盘价(漏洞问题曝光以前)累计下跌 5.2% 。包括 AMD 和英伟达在内的其它芯片厂商股价则出现上扬。 问题存在已久 研究人员接触那些漏洞已经有一年多的时间。2016 年 8 月,在拉斯维加斯的 Black Hat 网络安全大会上,两位研究者安德斯·福格(Anders Fogh)和丹尼尔·格拉斯(Daniel Gruss)演示了漏洞的早期迹象。福格在去年7月还就此发表博文,鼓励其他的研究者去展开调查。 与此同时,谷歌内部的安全研究团队 Project Zero 的雅恩·霍恩(Jann Horn)早已揭开该问题,并通知了英特尔。最终,来自全球各地的三个其它的研究团队就同样的问题联系英特尔,英特尔接着与他们一道交流和撰写论文。其中一位研究者丹尼尔·格恩金(Daniel Genkin)指出,他们发现芯片的漏洞可追溯到 2010 年,并认为那些问题甚至可追溯到更久以前。“ 带来这种漏洞的通用架构原则有几十年历史了,” 他说,“ 我没有去启动一台来自 1995 年的电脑探个究竟,但那些原则那时候就存在。”福格说道,研究人员之所以同时发现同样的长期漏洞,是因为此前的研究打下了基础,其中包括他在 2016 年的演示。那为什么英特尔没有更早发现漏洞呢?“好问题,我还真回答不了。”他说。 英特尔数据中心工程副总裁史蒂芬·史密斯(Stephen Smith)指出,公司一直以来都在设法提升它的产品安全性。 监管文件显示,在英特尔与合作伙伴们一起努力解决问题期间,英特尔 CEO 布莱恩·科兹安尼克(Brian Krzanich)在去年 11 月出售他的公司股票和期权套现 2400 万美元,保留了 25 万股股票,从该公司最近的代理委托书来看,那是公司对他的最低持股量要求。 英特尔发言人表示,那次售股与此次安全问题无关,是依照预先安排的、带有自动出售时间表的计划。英特尔和由科技公司和研究者组成的大联盟计划在 1 月 9 日对外披露漏洞问题。但本周,科技新闻网站 The Register 在跟踪研究该漏洞的补丁的程序员的在线讨论后率先进行了曝光。 英特尔、AMD 和 ARM 事先通知了部分大客户,但 The Register 的报道让小公司措手不及。云计算提供商 DigitalOcean 的首席安全官约什·芬布鲁姆(Josh Feinblum)上周末从同行那里获悉漏洞问题。他说,他一直在尽可能快速地修复他的系统,对于目前的成果感到满意。 “ Linux 之父”林纳斯·托瓦兹(Linus Torvalds)批评英特尔没有承认问题,最初说芯片按照预想运行。“ 我认为,英特尔内部的某个人需要认真审视他们的 CPU 问题,承认它们存在问题,而不是撰写公关文章大肆宣称一切都如计划发展。” 他在周三致 Linux 程序员的电子邮件中写道。 怀特表示,虽然英特尔在事件的披露方面做得乱七八糟,但考虑到事情的性质和影响范围,该公司 “ 或许还算处理得不错。” 他说道,研究人员称部分补丁的开发“涉及一些新的计算机科学领域。” “ 该项工作非常复杂,复杂到令人惊异。” 该事件让人们担心,基于那些新发现的漏洞展开的攻击,可能已经发生了好几年,却未被发现。部分技术人员认为,这种情况可能性不大,因为那需要有复杂的黑客技术。例如,谷歌方面称它没能找到办法去利用 Android 手机中的漏洞,但考虑到有人或许能够利用的风险,它还是为那些设备提供安全补丁。其他人表示,如果白帽黑客——发现及修补安全漏洞的合法黑客——能够发现漏洞,那么为非作歹的黑帽黑客也能够发现。 怀特指出,随着漏洞问题如今被曝光,用户也要保护好自己。“ 这些是非常复杂的攻击,需要各种背景知识和理解。” 他说,“ 但它一旦出现,就会转变成代码攻击。” 稿源:cnBeta、网易科技,封面源自网络;

西部数据 My Cloud 私有云被曝存在远程访问后门

近年来,消费者们对网络附加存储(NAS)的兴趣日渐浓厚,硬盘厂商们也顺势推出了诸多私有云产品,但却没能在安全性上下足功夫。近日,外媒曝光了西部数据 My Cloud 设备存在一个严重后门漏洞的消息。别有用心的人们,可以借此获得联网设备的无限制根访问。尽管 James Bercegay 早在 2017 年中就向厂商披露了该漏洞,但是半年过去了,西数还是没有进行修复。 据其披露的概念验证的完整细节,最麻烦的事情在于,My Cloud 存有一个无法更改的硬编码后门凭证。 任何人都可以通过 ‘mydlinkBRionyg’ 这个拥有管理员权限的用户名、以及 ‘abc12345cba’ 这组密码来登录西部数据的 My Cloud 服务。登录之后,攻击者有大量的机会去诸如命令,从而取得毫无防备的 shell 访问权限。 有鉴于此,即便切断了外网连接,西数 NAS 设备用户在内网中同样危险: 只需在网站上精心设计一幅 HTML 图像和 iFrame 标记,然后使用可预测的主机名称向本地网络的设备发出请求。除了引诱访问恶意网页之外,全程不需要用户的任何交互。 据悉,受影响的型号极其广泛,包括: My Cloud Gen 2、My Cloud EX2、My Cloud EX2 Ultra、My Cloud PR2100、My Cloud PR4100、My Cloud EX4、My Cloud EX2100、My Cloud EX4100、My Cloud DL2100、以及 My Cloud DL4100 。 爆料人已经公开了一个 Metasploit 模块,因此所有人都可以轻松向 WD NAS 设备发起攻击。最后,我们只能向所有受影响的用户提出彻底断网的建议,直到厂家推送安全补丁。 稿源:cnBeta,封面源自网络;编辑:青楚。

专家猜测黑客组织即将开始远程利用英特尔 CPU 漏洞

据外媒报道 1 月 4 日报道,相关安全专家认为黑客组织即将远程利用影响英特尔 (包括 AMD 和 ARM) 处理器的两个严重漏洞 Spectre (幽灵) 、 Meltdown (熔断)开展攻击行动。 据悉,研究人员于 1 月 3 日披露了漏洞的具体细节:Spectre 和 Meltdown 利用三种不同缺陷绕过内存隔离机制,从而访问敏感数据(包括密码、照片、文档和电子邮件)。目前有数十亿种产品的 CPU 受到影响,其中包括个人电脑和智能手机,此外,云环境也可能会遭受攻击。相关研究人员已提供了一种使用内核页表隔离( KPTI )的防御策略,并且受影响的供应商也发布了补丁和解决方法。 虽然主要攻击媒介是通过本地访问(例如目标机器上安装的一个恶意软件),但研究人员认为通过 JavaScript 进行远程攻击也是有可能的。 对此,研究人员开发了一个概念验证(POC),用于验证在 Google 浏览器 上使用 JavaScript 利用 Spectre 的方法 , 并从其运行过程中读取私有内存。该 PoC 的验证结果显示 JavaScript 远程利用漏洞这一方式是可用的,因此专家认为恶意攻击者远程利用漏洞展开攻击行动只是时间早晚的问题而已。这也就是为什么一些专家建议用户在浏览器中禁用 JavaScript 并安装广告拦截器。 除此之外,几家科技巨头也对可能出现的远程攻击进行了分析。 Mozilla 通过内部实验确定这些技术可以被用来从网页内容读取不同来源之间的私人信息,目前 Mozilla 已决定在 Firefox 57 中实施部分保护。 Google 通过 JavaScript 和 WebAssembly 都可以进行攻击。Google 通知客户,目前版本的 Chrome 包括一个名为站点隔离的功能,可以手动启用以防止攻击。此外,谷歌表示将在 1 月 23 日发布的 Chrome 64 中包含 V8 JavaScript 引擎的缓解措施,其他的强化措施将在未来的版本中加入,但这些措施可能会对性能产生负面影响。 微软 可以通过在浏览器中运行的 JavaScript 代码启动攻击。不过目前微软已经发布了其 Edge 和 IE 浏览器的最新版本,以减少漏洞。 知情人士透露,许多知名公司的高层对黑客即将远程利用漏洞展开攻击行动的这一猜想也表示赞同,例如 FireEye 亚太区首席技术官 Bryce Boland 、Cybereason 公司首席安全官 Sam Curry 等人士。 消息来源:SecurityWeek,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

英特尔芯片漏洞曝光背后的故事:研究员一度不敢相信

路透社今日发表文章,详细揭秘英特尔近期的被曝出的芯片漏洞是怎么被发现的:一名 31 岁的信息安全研究员成功攻入自己计算机的 CPU 内部,并由此发现了英特尔的芯片漏洞。一天晚上,信息安全研究员丹尼尔·格鲁斯(Daniel Gruss)正在摆弄自己的电脑。他发现了过去 20 年中,英特尔大部分芯片都存在的一个严重漏洞。31 岁的格鲁斯是奥地利格拉茨技术大学的博士后研究员。他刚刚攻入了自己计算机 CPU 的内部,窃取了其中的保密信息。 直到成功之前,格鲁斯和他的同事莫里茨·利普(Moritz Lipp)和迈克尔·施瓦茨(Michael Schwarz)都认为,对处理器内核存储的攻击只停留在理论上。内核存储不对用户开放。格鲁斯在接受路透社邮件采访时表示:“ 当我看到来自火狐浏览器的私人网址被我编写的工具导出时,我非常震惊。” 他在邮件中介绍了,如何解锁本应该得到充分保护的个人数据。 12 月初的一个周末,格鲁斯、利普和施瓦茨在家里工作。他们互相发短信,以验证各自的结果。 格鲁斯表示:“ 我们坐了好几个小时,不敢相信这个结果,直到我们排除了结果可能错误的可能性。” 在关掉计算机之后,他也一直在思考,几乎难以入睡。格鲁斯和他的同事们刚刚证实了他认为的 “ 有史以来最严重的 CPU 漏洞之一 ”。这个漏洞目前被命名为 Meltdown,于周三公布,影响了英特尔自 1995 年以来制造的大部分处理器。 此外,另一个名为 Spectre 的漏洞也被发现存在于大部分搭载英特尔、AMD 和 ARM 处理器的计算机和移动设备中,可能导致核心存储泄露。 利用这两个漏洞,黑客可以从台式机、笔记本、云计算服务器和智能手机中获取密码和照片。目前尚不清楚,黑客是否有能力执行这样的攻击,因为利用 Meltdown 和 Spectre 的攻击都不会在日志文件中留下记录。 英特尔表示,该公司已经开始提供软件和固件升级,应对安全问题。ARM 也表示,正在与 AMD 和英特尔合作,修复安全漏洞。 寻找解决办法 科技网站 The Register 最先报道了这个发现,这导致与漏洞相关的研究比相关厂商的计划提前公布了一周,而这些厂商尚未拿出完整的修复方案。 格拉茨技术大学的团队正在开发一种工具,防范黑客从内核存储中窃取机密信息。在去年 6 月发表的一篇论文中,他们将其称作 “ KAISER ” ,即 “ 通过内核地址隔离有效移除旁路 ” 的缩写。 顾名思义,KAISER 的目标是保护内核存储,避免所谓的旁路攻击。在当代处理器中,旁路的设计是为了提升速度。 负责任地披露 在 12 月尝试对自己的计算机进行黑客攻击之后,格拉茨技术大学团队的早期工作开始变得清晰起来。事实证明, KAISER 工具能有效抵御通过 Meltdown 的攻击。 该团队迅速联系了英特尔,并了解到其他研究人员也获得了类似发现。他们基于 “ 负责任地披露 ” 程序来推进,告知受影响公司自己的发现,给企业时间去开发补丁。格鲁斯表示,其中关键的人员包括独立研究员保罗·科切(Paul Kocher)及其在 Cyberus Technology 的团队。而谷歌 Project Zero 的简恩·霍恩(Jane Horn)也独立得出了类似结论。 格鲁斯表示:“ 12 月中旬,我们将工作汇总在一起,制作了两份关于 Meltdown 和 Spectre 的发布报告。”格鲁斯此前并不清楚霍恩所做的工作。他表示:“ 霍恩完全独力进行了开发,非常厉害。我们开发出了类似的攻击方法,但我们有 10 名研究员。”大团队表示,基于 KAISER 为 Meltdown 漏洞提供的补丁已准备好发布给 Windows、Mac 和 Linux 操作系统。 目前,Spectre 漏洞还没有任何补丁。Spectre 可以欺骗程序泄露信息,但研究人员认为,黑客使用这个漏洞也非常困难。关于这两个漏洞哪个带来的挑战更大,格鲁斯表示:“ 眼前的问题是 Meltdown。随后是 Spectre。Spectre 更难利用,但也难以解决。因此从长期来看,我认为 Spectre 更麻烦。” 稿源:cnBeta、新浪科技,封面源自网络;

Mozilla 确认:英特尔 CPU 漏洞可用于提取用户上网信息

Mozilla 确认近日全平台中招的 Meltdown(熔断)和 Spectre(幽灵)两个漏洞能够用于提取用户上网的登陆信息。尽管这种情况的发生概率极小,但已经证明确实存在这种安全隐患。 Mozilla 通过多个 JavaScript 脚本文件确认了这种攻击方式的可行性,假如网页创建者怀揣恶意目的,能够提取任意访客的相关信息。不过这种情况概率极小,首先是软件和固件始终处于未更新状态,而且硬件是过去 20 年生产的。 Mozilla 软件工程师 Luke Wagner 在博文中确认:“ 近期公布的数篇科研文章已经证实了在近代 CPU  上存在新型攻击方式(熔断和幽灵)。我们的内部测试发现,能够相似的技术能够从网页内容中读取隐私信息。”所幸的是,近年来下载的 Firefox 在默认情况下都会进行自动更新。 稿源:cnBeta,封面源自网络;

看各大科技公司如何处理这次的大规模芯片漏洞问题

据外媒报道,近几日曝出的芯片漏洞被证实影响范围及广,其几乎波及了全球所有的手机、电脑、服务器以及云计算产品。一开始最先被曝出受到影响的芯片来自英特尔公司,后来 AMD 以及 ARM 处理器也都被证实受到波及。 为此,整个科技行业都在争相开发能够修复这些漏洞的软件补丁。包括苹果、亚马逊、微软、谷歌在内的各大科技公司都在为其所用的操作系统以及云服务更新打补丁。 那么针对这次的芯片漏洞事件各家公司又都是如何回应的呢? 英特尔: “ 英特尔和其他科技公司已经从新的安全研究中了解到了当软件分析方法被用于恶意目的时有可能会出现不恰当地从电脑设备中收集敏感数据的情况。英特尔相信这些漏洞不存在破坏、修改和删除数据的可能性。” “ 最近关于这些漏洞由一个只存在于英特尔产品的 bug 或 flaw 引起的报道是错误的。基于迄今为止的分析显示,许多计算设备类型–包括来自许多不同厂家的处理器和操作系统–都非常容易受到这种攻击。” 微软: 微软今天已经更新了 Windows 10,与此同时,Windows 7 和 Windows 8 也都获得了对应的更新。 “ 我们意识到发生在整个行业的问题并已经跟芯片制造商展开密切合作以开发和测试缓解措施来保护我们的客户。我们正在为云服务部署缓解措施,另外还发布了能保护受英特尔、ARM、AMD 硬件漏洞影响的 Windows 客户的安全升级。我们还没有收到任何表明我们的客户遭到这些漏洞攻击的报告。” 谷歌: 谷歌 Project Zero 的研究人员实际上早在去年就已经发现了这些漏洞并在 2017 年 6 月将相关信息提供了英特尔、AMD、ARM。谷歌在一篇博文中披露了其对 Android、Crhome OS、Google Cloud 所采取的措施。这家公司表示, Chromecast 和 Chrome 浏览器都未在影响范围内。 亚马逊: “ 这是一个已经在英特尔、AMD、ARM 等现代处理器构架中存在 20 多年的漏洞,它们横跨服务器、台式机、移动设备。目前亚马逊 EC2 机群只有极少数得到了保护,但其余的保护工作将在接下来的几个小时内完成。我们将随时让客户了解我们安全告示的最新动态,相关信息可以在这里找到。” AMD: “ 需要澄清的是,安全研究团队确定了 3 种针对预测执行的(漏洞)变体。这 3 种变体对各家微处理器公司的威胁和影响不尽相同,AMD 不受影响。由于 AMD 构架的不同,我们相信 AMD 处理器目前受到的风险为零。我们预计安全研究报告将会在今天晚些时候公布,届时将提供进一步的消息。” ARM: “ ARM 已经为解决这个利用某些高端处理器所用的投机执行技术的旁路分析方法跟英特尔和 AMD 展开合作,这当中包括了我们的 Coretex-A 处理器。该方法能够让恶意软件在本地运行进而获得访问来自特权内存数据的权限。需要注意的是,我们现流行的低功率、IoT 设备连接 Cortex-M 处理器不在影响范围内。” “ 我们建议我们的硅谷合作伙伴,如果其芯片受到影响,那么最好采取缓解措施。” 苹果: 截止到目前,苹果尚未作出回应。 不过苹果貌似已经通过去年 12 月份推出的 macOS High Sierra 10.13.2 更新部分修复了这个问题,而且将会在即将发布的 10.13.3 更新中修复更多的内容。苹果内部的多个信息源(未被授权代表公司)已经向 AppleInsider 网站证实,macOS High Sierra 10.13.2 有例程来稳定可能允许应用程序访问受保护的内核内存数据的缺陷。这些措施再加上十多年来苹果对内核内存的现有程序要求似乎已经减轻了大部分之前曝光安全漏洞带来的危害。 相关阅读: 阿里云腾讯云回应英特尔CPU漏洞:通过热升级修复漏洞 百度云回应英特尔CPU漏洞:启动应急措施推进漏洞修复 消息来源:据 cnBeta、MacX 内容整理, 封面源自网络;

谷歌安全博客披露“ 英特尔内核漏洞 ”更多细节

去年的时候,Google 旗下 Project Zero 团队发现了一个由 CPU “ 预测执行 ” 导致的严重安全漏洞,而它也是一项被大多数现代处理器使用的性能优化方案。根据研究人员 Jann Horn 的演示,恶意攻击者可借此读取不该被它访问到的系统内存。某个未经授权的一方,可能在系统内存中读取到一些敏感信息,比如密码、加密密钥、或者在应用程序中打开的其它机密信息。 测试还表明,在一台虚拟机上发起的攻击,甚至能够访问到主机的物理内存。基于此,还可以获取在同一主机上、不同虚拟机的内存读取访问。 该漏洞影响许多 CPU,包括来自英特尔、AMD、ARM 的芯片,以及搭配运行的设备和操作系统。在获悉这种新型攻击的第一时间,谷歌安全和产品开发团队就积极动员了起来,以保护自家系统和用户数据。 万幸的是,谷歌现已更新了系统和受影响的产品,可以防止这类新型攻击。此外他们还与业内的软硬件制造商合作,帮助保护更广泛的客户,这些努力包括协作分析和开发新奇的缓解措施。 受到该漏洞影响的 Google 产品、以及它们当前的状态,可移步至这个页面查看: https://support.google.com/faqs/answer/7622138 鉴于这种攻击类型相当新颖,Google 只列出了当前已知的攻击方式和缓解措施。在某些情况下,用户和客户需要采取额外的步骤,才能确保他们已经用上了受保护的版本。 下面是当前已给出的产品清单:(未列出的 Google 产品需要用户自行采取额外的保护措施) ● Android(请更新至最新的安全补丁); ● Google Apps / G Suite(含 Gmail、日历、网盘等); ● Google Chrome(需采取部分额外措施); ● Google Chrome OS(含 Chromebook); ● Google Cloud Platform(需采取部分额外措施); ● Google Home / Chromecast(无需采取额外措施); ● Google Wifi / OnHub(无需采取额外措施)。 需要指出的是,这个列表和产品的状态可能随着新的进展而改变,必要的情况下,Google 安全团队会对这篇博客的内容进行修改和更新: https://security.googom/2018/01/todays-cpu-vulnerability-what-you-need.htmlleblog.c 稿源:cnBeta, 封面源自网络;

phpMyAdmin 存在关键 CSRF 安全漏洞,4.7.7 之前版本均受影响

据外媒 1 月 2 日报道,印度安全研究人员 Ashutosh Barot 发现 phpMyAdmin 存在一个严重的 CSRF 安全漏洞——通过欺骗管理员点击链接来执行危险的数据库操作,比如删除记录、删除/截断表等。Barot 称 phpMyAdmin 4.7.7 之前的版本都受到该漏洞的影响,并且可能会泄露敏感数据。 CSRF :跨站点请求伪造漏洞(也称为 XSRF),可在(已通过身份验证的)目标在不知情的情况下以目标名义伪造请求然后发送到受攻击站点,从而在并未授权的情况下执行一些操作。 phpMyAdmin 的一个特性是使用 GET 请求,在数据库操作的 POST 请求之后,GET 请求必须受到保护以防止 CSRF 攻击。在实例演示中,攻击者使用 URL 发送 POST 请求可能会欺骗数据库管理员单击按钮,执行删除数据库。 但是要进行这种攻击并不简单,因为要利用 CSRF 攻击 URL ,所以攻击者很可能知道目标数据库以及数据表的具体名称。那么这些信息是如何泄露的呢? 根据上述猜想,Barot 对此进行研究发现若用户通过单击插入、删除等按钮来操作数据库,那么 URL 将包含数据库和表名称。 而 URL 又存储在不同的地方,比如浏览器历史记录,SIEM 日志,防火墙日志,ISP 日志等,因此 Barot 认为该漏洞很可能会导致敏感信息泄露。 目前,phpMyAdmin 已发布了 phpMyAdmin 4.7.7 版本来解决这个 CSRF 漏洞。 消息来源:thehackernews,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

英特尔芯片重大缺陷, 或迫使 Linux 和 Windows 重新设计内核

据北京时间 1 月 3 日早间消息,由于英特尔处理器存在一个底层设计缺陷,迫使 Linux 和 Windows 内核需要展开重大的重新设计,以便消除芯片层面的安全漏洞。程序员都在正在加紧检修开源 Linux 内核的虚拟内存系统。 与此同时,微软也可能在下周二的补丁中发布对 Windows 系统展开必要调整:这些改版已经在去年 11 月和 12 月提供给 Windows Insider 的测试者。 关键问题在于,Linux 和 Windows 系统的更新会对英特尔的产品性能产生冲击。虽然具体影响有待确定,但预计速度会放慢 5% 至 30%,具体要取决于任务类型和处理器模式。英特尔最近的芯片配备了 PCID 功能,可以降低性能受到的影响。 苹果 64 位 macOS 等其他系统也需要进行类似的更新——该问题存在于英特尔的 x86 硬件之中,似乎无法通过微码升级来解决。必须要在系统层面通过软件来解决,或者购买没有设计缺陷的新处理器。 英特尔芯片的漏洞细节尚未披露,最早有望于本月初公布,可能会选在下周二的微软补丁发布日。事实上,Linux 内核补丁已经对所有人开放,但源代码的评论内容经过修改,导致人们无法详细了解问题。 稿源:cnBeta、新浪科技, 封面源自网络;

家中音箱突然半夜高歌?别担心,它只是被黑了

据外媒 1 月 1 日报道,网络安全软件公司趋势科技证实一些型号的 Sonos 和 Bose 智能音箱存在安全漏洞,或可导致设备被劫持。相关研究人员称攻击者利用该漏洞进行简单的网络扫描,从而远程操控设备,例如播放诡异的音乐以及执行 Alexa 语音命令。虽只有小部分型号的音箱受到影响(其中包括 Sonos One 和 Bose SoundTouch ),但目前为止约有 2500 – 5000 台 Sonos 设备和 400- 500 台 Bose 设备已遭到攻击 。 据趋势科技研究人员介绍,攻击者通过扫描互联网寻找易受攻击的设备,一旦发现存有漏洞的音箱就立即使用 API 来引导其播放托管在特定 URL 上的音频文件。研究人员解释说有缺陷的音箱允许同一网络上的任何设备在未进行身份验证的情况下使用如 Spotify 或 Pandora 之类的应用程序的 API。攻击者利用该 API 可以播放任意 URL 的音频文件。此外,攻击者除了任意播放音乐,还制造了一些更加恐怖的攻击场景,比如通过语音助手设备控制门锁、空调和照明等智能家居的功能。 趋势科技称之所以会出现音箱被人侵的事件,其主要原因可能与这些音箱连接到一个错误配置的网络上有关。目前 Sonos 表示已发布安全补丁,解决了包括拒绝服务(DoS)错误在内的一些问题,但 Bose 方面仍然没有回应。 相关参考阅读: < The Need for Better Built-in Security in IoT Devices > 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。