分类: 安全快讯

英特尔管理引擎修复多个安全漏洞

Chipzilla近期公布了英特尔管理引擎(Intel ME)的更多安全更新。根据发布的多个公告,共计修复了四个漏洞。Positive Technologies详细介绍了这些BUG,其中编号为CVE-2018-3628的“HTTP handler的缓冲区溢出”问题最为严重。 身处相同网络子网上的攻击者可以在Active Management Technology (AMT)环境中执行任意代码,不需要管理员权限就能访问AMT账号。这使得恶意攻击者能够完全远程控制计算机。 CVE-2018-3629是另一个缓冲区溢出漏洞,CVE-2018-3632是一个内存损坏错误,只有管理员权限的本地攻击者才能利用。CVE-2018-3627同样需要管理员权限,这是Intel Converged Security Management Engine 11.x中存在的逻辑错误,可以运行任意恶意代码。   稿源:cnBeta,封面源自网络;

FB、谷歌、微软和 Twitter 联合推出数据传输项目

新浪科技讯 北京时间7月23日上午消息,为了各平台之间用户易于传输数据,四大科技巨头——Facebook、谷歌、微软以及Twitter——联合推出了一项名叫数据传输项目(DTP)的源代码倡议。 该项目能让用户在参与DTP的服务供应商之间自由传输数据,目前仍处于实施早期阶段,但有望促进尽可能多的供应商加入其中。 Facebook隐私和公共政策负责人Steve Satterfield在一次声明中表示,“今年,我们已经在隐私设置中进行了调整,用户可以更方便地找到并管理自己的数据。但是当你登录一项服务时,你要想使用另一款服务的数据还是不太方便。” “举个例子,你也许会使用一个公开分享图片的应用、和朋友分享近况的社交应用还有一个记录健身情况的应用。人们希望能传输不同服务上的数据,但是也希望这些公司能够帮助他们保护好数据安全。” 他指出,DTP项目将解决这些问题。 DTP会减少服务供应商以及用户两者身上的基础设施负担,从而提供更多的便捷服务。项目会利用服务已有的应用程序接口以及授权机制来获取数据,之后利用服务特定的适配接口来将数据转化为一种常见的格式,再发送到新服务的应用程序接口。 这一共有的框架能够将任意两个在线服务供应商连接在一起,实现平台之间数据无缝、直接且便捷的传输。   稿源:新浪科技,封面源自网络;

Facebook 开源 oomd,一种处理内存溢出的新方法

近日,在 Facebook 的网站上,该公司的 Daniel Xu 宣布在 GPLv2 许可证下开源 oomd。oomd 是用户空间内存溢出杀手(OOM Killer),它在最近关于块 I/O 延迟控制器的文章中有被提及到。当内存不足时,内存溢出杀手会杀掉一些进程,它的主要任务是保护内核,因此应用程序可能会受到影响。相比传统的 Linux 内存溢出杀手,oomd 会全面监视系统,评估系统是否处于不可恢复的工作负荷下。在系统的 OOM Killer 作用前,oomd 会在用户空间采取纠正措施。 Facebook 表示,它们的基础设施已经发展到包含新闻信息流、Messenger、Instagram、WhatsApp、Oculus以及其他一系列产品。这些产品和它们背后的系统运行于分布在多个地理分布式数据中心的数百万台服务器上。随着基础设施规模不断扩大,Facebook 的机器和网络越来越多地跨越多代,这种多代生产环境的一个副作用是新的软件版本或配置更改可能导致系统在一台计算机上运行正常但在另一台计算机上遇到内存溢出(OOM)问题。传统的 Linux 内存溢出杀手在某些情况下运行良好,但在其他情况下,它启动得太晚,导致系统进入不确定时期的活锁。 因此 Facebook 开发了oomd,一种更快、更可靠的解决方案,用于常见的内存溢出(OOM)情况,它可以在用户空间而不是内核空间中运行。Facebook 设计的 oomd 包含两个关键特性:pre-OOM钩子(pre-OOM hooks)和自定义插件系统。在工作负载受到威胁之前,pre-OOM钩子提供了对 OOM 的可见性。由于 OOM 检测标准可能因工作负载而异,因此插件系统支持对检测和进程终止策略进行自定义。 与用于内核空间内存溢出杀手的一些对比 结论 oomd 是新型的用户空间内存溢出杀手(OOM Killer),允许应用程序开发者在工作负载消耗所有可用系统内存时自定义响应。Facebook 表示,他们的测试表明 oomd 是默认 Linux 内核内存溢出杀手的可靠而有效的替代品。他们已经在 Facebook 开发并部署了 oomd,发现它使自家的公司能够减少从构建服务器到机架交换机到共享计算资源的工作负载频率。   稿源:开源中国,封面源自网络;

传谷歌拟在 5 年内用 Fuchsia 取代 Android 和 Chrome OS

新浪科技讯 北京时间7月20日早间消息,据彭博社报道,谷歌正在悄然开发的手机和平板电脑操作系统Fuchsia可能会在5年内取代Android和Chrome OS。 但据CNBC了解,实际上谷歌并未制定什么5年计划。报道称,谷歌CEO桑达尔·皮查伊(Sundar Pichai)以及Android和Chrome业务负责人希罗什·洛克海姆(Hiroshi Lockiheimer)尚未批准任何“路线图”。谷歌发表简短声明称,Fuchsia只是该公司的“诸多实验性开源项目之一”,但拒绝进一步置评。 彭博社从消息人士处获悉,Fuchsia团队自己的工程师认为他们可以从小目标开始,先让Fuchsia系统在3年内登陆Google Home智能音箱等智能家居设备,随后再进军笔记本,最后才是手机。但谷歌并未证实这种技术可能在何时问世。 这可能是谷歌为手机、平板电脑和PC打造单一操作系统的一种方法,该公司在过去多年时间里一直都想要做到这一点;同时也可借此避免在未来遭到起诉,这是因为Fuchsia的基础代码与Android不同。另外,谷歌还可通过这种方法来解决Android系统的碎片化问题(也就是用户不能指望Android手机能拥有相同的功能),这个问题困扰谷歌已有多年。 但对谷歌来说,抛弃Android并非易事。据一位消息人士向彭博社透露,谷歌对这个想法可能没那么认真。该消息人士称,这是一个为了“留住高级工程师的项目”,旨在让谷歌的人才有事可做,这样一来就不会离职转投谷歌竞争对手的公司了。   稿源:新浪科技,封面源自网络;

短信不安全,Instagram 正在开发独立的双重认证功能

黑客可以把你的电话号码复制到一张新的 SIM 卡上,从而将你的号码据为己有,用来重置你的密码,窃取你的 Instagram 和其他服务的账号,并拿出去售卖换取比特币。正如 Vice 旗下 Motherboard 在周二发布的一篇痛心疾首的 文章 中所详细报道的那样,Instagram 账号特别容易受到攻击,因为该应用仅支持通过短信验证码登录,一旦电话号码被劫持,相关账户的安全性立刻将为零。 不过,现在 Instagram 向 TechCrunch 证实,他们正在开发一套配合 Google Authenticator 或 Duo(注:不是谷歌的聊天工具)这类安全应用使用的非短信双重认证系统。这套系统生成的验证码无法在其他手机上显示,这样即使你的手机号码被黑客复制到新的 SIM 卡上也没有关系。 多次向 TechCrunch 爆料的消息人士黄文津(Jane Manchun Wong)通过分析 Instagram 的安卓应用发现,其 APK 代码中暗藏着升级版双重认证的原型。在此之前,黄文津的爆料已经帮助 TechCrunch 率先报道了关于 Instagram 视频通话 、Usage Insights 以及 Stories 音乐功能 的消息。 当 TechCrunch 将截图展示给 Instagram 时,后者的一位发言人说,没错,他们正在打造一项非短信双重认证,并称:“我们正在持续提升 Instagram 账号的安全性,其中就包括强化双重认证功能。” Instagram 其实对用户账户保护一直不算特别上心,直到 2016 年才推出基于短信的两步验证,当时他们已经拥有 4 亿用户。在 2015 年 11 月,笔者写过一篇题为“说真的,Instagram 需要双重认证 ”的文章。蕾切尔·赖尔(Rachel Ryle)是笔者的一位朋友,她也是 Instagram 上颇有人气的定格动画制作人。赖尔的 Instagram 账号曾被黑客攻陷,这令她错失了一笔利润丰厚的赞助交易。Instagram 从善如流,在文章发表 3 个月后推出了基于短信的 基础版两步验证功能 。 但从那时起,SIM 卡复制和盗取也成了一个更常见的问题。黑客通常会打电话给移动运营商,使用一些社工手段冒充你的身份,或者贿赂内部员工来获取帮助,然后把你的号码移植到他们控制的 SIM 卡。正如 Motherboard 的文章所报道的那样,黑客这样做可能是为了窃取你的私密照片,偷光你的加密货币钱包,或者是转卖@t 或@Rainbow 这样的社交媒体靓号,总之他们有各种各样的动机去实施 SIM 卡移植攻击。如果你想知道应该如何保护自己的电话号码,可以参阅 这篇文章 。 但愿随着这种黑客攻击手法变得更广为人知,更多的应用能够引入非短信双重认证功能,移动运营商能够让移植手机号码变得更困难,以及用户能够采取更多措施来保护自己的账号。随着我们身份和资产的数字化程度越来越高,验证码和身份验证应用必然成为我们日常生活的组成部分,而不仅仅是门锁和家庭安全系统。   稿源:TechCrunch,翻译:王灿均,封面源自网络;

美国国会计划将网络中立性原则变为法律

美国国会可能很快对一项新法案进行投票表决。该法案将使网络中立性变成法律,而不是美国 联邦通信委员会(FCC)每隔几年就会修改的一套规则。由众议员迈克·考夫曼(Mike Coffman)提出的“21 世纪互联网法案”将禁止对流量的拦截、控制、付费优先处理,并解决司法管辖权的问题。 该法案 于今天通过网络以及华盛顿特区的一场活动公布,将对 1934 年《通信法案》(在很大程度上根据 1996 年《电信法案》进行了补充)进行修订,并增加新的“第八章”,引入对互联网服务提供商的具体监管规定。 这将解决 长达数十年的争论 ,即互联网接入是“信息服务”还是“电信服务”。这是一种法律上的区别,FCC 将据此来收紧(前者)或放松(后者)对互联网服务提供商的约束。 法案并不争论 FCC 是否有权制定规则,也没有对规则本身进行讨论。该法案只是将目前的规定变成法律,并确定 FCC 是正式监管机构。 FCC 有权发起调查,采取执法行动,公布裁判决定,进行规则制定,并采取其他必要行动,以执行本法案的要求。 因此,这将不再是 FCC 是否想要制定网络中立性规则的问题。网络中立性将变成法律,执行网络中立性是 FCC 的职责。 对流量拦截、控制和付费优先处理的禁令与 2015 年的规定非常相似。法案甚至提出了“一般行为”规则,而许多人认为这样的规则过于模糊。这个包罗万象的规则指出,互联网服务提供商(ISP)“不可以不合理地干扰或阻碍”用户或边缘提供商获取或提供合法内容和服务。 由于不够具体,因此这意味着很多行为,例如零收费,可能是合法也可能是非法,需要具体问题具体讨论。这可能需要付出大量精力,但很难想到有更好的办法来应对 ISP 不断变化的策略。 有趣的是,该法案将要求 FCC 调查“不公平或欺诈性的行为和活动”。实际上,这通常是美国联邦贸易委员会(FTC)经常关注的问题,包括虚假广告、对产品的夸大宣传,以及诸如此类。可以认为,这是为了解决关于司法管辖权的争论,不过预计 FTC 仍将在这个方面发挥重要作用。 宽带服务提供商将可以从 FCC 的“普遍服务基金”中获得补贴。该基金的目的是协助 FCC 履行主要职责,即确保通信基础设施符合要求。尽管 FCC 可以要求 ISP 向基金出资,但 FCC 没有权力去管理收费,即要求 ISP 可以对哪些服务收费,哪些不能收费。令人担忧的是,根据 2015 年的规定,阻止 FCC 这样做的唯一办法是,FCC 自愿放弃这样的能力。 ISP 也不会被视为“普通运营商”。这样的定位将带来其他责任,需要受到额外监督。有些人可能会认为,这样的选择是切实可行的,即使并不完全正确:互联网服务提供商确实符合普通运营商的定义,但在进行这样的定义之前,需要证明“第二章”是否适用。这些条款授予 FCC 权限,执行 2015 年的规则。 这令人迷惑,对吧?然而,这项法律确实将突破过去几十年的许多障碍,制定用户能理解的“明线”规则。 谁会反对这项法律,原因是什么?当然,宽带服务提供商首先会跳出来说,这项法律没有必要,因为首先他们已经承诺会自愿遵守规则,其次这会阻止他们的创新。这样的创新从技术上看将违反规则,但却有利于用户的利益。但请不要搞错:这样的服务从来不曾存在过。唯一接近的是“零收费”,而这是个骗局。 请记住,宽带服务提供商也曾呼吁“监管的确定性”,而不是过去 5 年里那种不断拉锯的规则变化。 保守派人士可能会反对这项法案,因为法案扩大了监管,而不是缩小监管。这是个合理的立场,只要消费者同意。网络中立性规则起源于奥巴马政府,这意味着政党政治中有些政客也不会喜欢这个东西。 很难说某个法案是否会取得成功。无论如何,流程会非常缓慢,我们可能需要等待 1 年甚至更长的时间,才能在众议院看到法案被讨论。至于总统,很难说他会做什么,就像许多其他议题一样。尽管法案是由共和党国会议员提出的,但这并不意味着法案不会被否决。   稿源:TechCrunch,翻译:维金,封面源自网络;

Red Hat发布RHEL 7/CentOS 7内核更新 修复数据连接丢失BUG

Red Hat和CentOS社区本周宣布,面向Red Hat Enterprise Linux(RHEL) 7和CentOS Linux 7操作系统推出全新的内核更新来修复一个严重的BUG。之前在解决Spectre V4安全漏洞而发布的Linux内核更新中,RHEL 7.5和CentOS Linux 7.5被发现存在一个错误,连接追踪信息无法正常工作,导致连接丢失以及关于连接追踪相关的配置属性泄露到其他域名空间内的情况。 Red Hat在安全公告中写道:“此前,转发到另一个网络空间数据包的连接追踪信息并未正确清除。即使在新的域名空间内,这些数据包会标记旧域名空间的‘NOTRACK’,从而在新的域名空间中被排除连接追踪。因此根据网络域名空间的数据包过滤规则集,偶尔会发生数据接连丢失的情况。” 在RHEL 7系列最新版本中,Red Hat修复了这个问题。这些版本涵盖Red Hat Enterprise Linux 7 Desktop, Workstation and Server editions, Red Hat Enterprise Linux 7 for IBM z Systems, IBM System z (Structure A), POWER Big Endian, POWER Little Endian, ARM64, POWER 9, as well as Red Hat Enterprise Linux EUS Compute Node 7.5以及Red Hat Enterprise Linux for Scientific Computing 7。   稿源:cnBeta,封面源自网络;

Chrome浏览器加固修复幽灵漏洞:内存占用将多出13%

数据显示,Chrome(Chromium内核)浏览器的全球用户量已经超过了10亿,牢牢占据No.1。 不过,Chrome早年一直背负着一个“槽点”,那就是内存占用量高,谷歌为此还做过针对性的优化。 据外媒报道,谷歌本周宣布Chrome浏览器实现了对Spectre(幽灵)漏洞的修复,这个旁路攻击漏洞来自处理器底层,影响包括Intel、AMD甚至ARM平台的大量芯片。 之所以浏览器也要加固是因为漏洞的执行依赖恶意代码加载到本地,而上网传播是最简单直接的方法。 修复了当然是好事,但谷歌软件工程师Charlie Reis确认,这种修复操作将在大型负载下多占用10~13%的运行内存。对于4GB以下的客户来说,绝非一件好事。 据悉,Windows、Mac包括Chrome OS平台的Chrome都在此次“修复”之列。   稿源:快科技,封面源自网络;

Intel 推出季度安全更新计划:首波 13 个补丁含幽灵变种

Intel的处理器也要开始定期打补丁了?Intel在美东时间周二发布了为应对潜在安全风险的缓解措施,共计13项。包括针对Spectre v1(幽灵漏洞,绕过边界存储)变体的补丁以及本地用户可以从内存泄露中读出BIOS和管理员密码的BUG(CVE-2017-5704,影响4~7代酷睿平台)等。 幽灵v1的变体是首次公开,允许恶意代码在Intel计算机上利用推测执行来潜在地改变函数,并将其他线程中返回的地址通报给被劫持的应用程序。 TheReg确认,这是Intel季度安全补丁的第一次集中发布,也就是说,Intel今后将按照季度为单位,集中进行安全补丁的释放操作,看起来非常像是“好队友”微软的Patch Tuesday(周二补丁日,即每个月的第二个周二进行系统补丁更新)。 当然,考虑到消费者很少有直接从Intel官网下载“补丁”的习惯,Intel的安全更新更多是联合合作伙伴一道发行。报道称,主板、OEM厂商在3月份就拿到Intel的这波补丁了,此间一直在进行部署测试。 年初,幽灵(Spectre)和熔断(Meltdown)漏洞在业内引发轩然大波,其中又以Intel产品“受伤最深”。 Intel推出季度安全更新计划一方面是为解决像幽灵这样底层级别漏洞的变体攻击,另外也是他们对安全问题采取新重视态度的表现。   稿源:快科技,封面源自网络;

美、英、澳、加、荷5国建立联盟 打击加密货币税务犯罪

美国和英国的税务机关领导并建立了一个旨在打击跨国金融犯罪的国际联盟,其中该联盟会针对加密货币税务犯罪。根据周二公告,新联盟“全球税务执法联合机构”(Joint Chiefs of Global Tax Exforcement,简称J5)由五国税务机构合作组成。它们分别是: 美国联邦国税务总署(U.S. Internal Revenue Service Criminal Investigation, IRS-CI) 英国税务海关总署(U.K.’s HM Revenue & Customs, HMRC) 加拿大税务局(Canada Revenue Agency, CRA) 澳洲犯罪情报委员会(Australian Criminal Intelligence Commission, ACIC)与澳大利亚税务局(Australian Taxation Office, ATO) 荷兰税务信息和调查服务局(Fiscale Inlichtingen- en Opsporingsdienst, FIOD) 根据公告,五个成员国政府将通过协同调查和执法行动,共同打击洗钱等跨境金融犯罪。 J5关注的焦点之一是日益增多且不受国界限制的加密货币。   J5官网显示: 我们将……通过国际合作,减少加密货币和网络犯罪对税务管理构成的日益严重的威胁,并充分利用数据和技术。 加拿大税务局局长Johanne Charbonneau补充说: J5的成立表明,全球各国政府致力于加强国际合作,坚决打击借助加密货币从事国际税务犯罪、金融犯罪、洗钱和网络犯罪的行为。此外,我们将分享集体努力的成果和经验,共同辨识和应对日益复杂的全球性骗局,以及促进这类项目的专业驱动因素(professional enablers)。 税务机构关注加密货币投资者 最近几个月,世界各地的税务机构都将注意力集中在加密货币上,这主要是因为许多在2017年牛市期间和之后获利的早期投资者并不没有很快向税务机构缴纳税收。 例如,在美国,美国国税局(IRS)已与区块链分析公司签订合同,用以识别未能上报交易利润,试图逃避纳税的加密货币投资者。同时,IRS将加密货币交易所Coinbase告上法庭,要求其上交客户数据。 尽管加密货币占全球金融犯罪的数量微不足道,但执法机构担心恐怖分子和其他犯罪分子会越来越多地利用这种新兴技术,筹集运营资金并确保资产免受政府扣押。 这并非各国第一次联合起来对抗加密货币的威胁。CCN曾报道过,在今年四月G20会议议程中,加密货币是讨论的重点。尽管当时未产生这种跨国合作的监管框架,但是已有几个国家开始呼吁。FIOD负责人Hans van der Vlist表示,J5在跨国协调监管上是独一无二的。 Vlist表示, J5的独特之处在于五国家联手合作,不仅能充分利用国际数据和技术,还能应对促进离岸税务犯罪、网络犯罪、加密货币威胁对税务管理的不利因素。   稿源:未来财经,封面源自网络;