标签: 漏洞

英特尔公布安全漏洞修复补丁带来的性能衰减详情

本周三英特尔召开发布会,正式透露在修复安全漏洞的补丁更新后计算机的性能衰减详情。英特尔强调修复补丁对于计算机性能的影响取决于工作负载和配置,此次性能影响将对运行着高负载老旧芯片型号会受巨大影响,而运行 Windows 10 系统的最新芯片的性能影响会微乎其微。 英特尔表示,它在服务器平台上进行了一系列测试,发现通常由企业和云客户执行的常见工作负载的影响可能会达到2%。数据中心集团总经理纳辛·谢诺( Navin Shenoy )解释说,根据模拟经纪公司客户经纪人与证券交易所互动的模拟线上交易处理( OLTP )基准,这一性能衰减可能达到 4%。而对处理大数据量的服务器的性能影响情况尤其严重,英特尔称这些配置的性能影响可高达 25%, 英特尔官员还补充说,该公司正在与合作伙伴合作,降低补丁对性能的影响,Google 的解决方案在这方面可能派上用场。 稿源:cnBeta,封面源自网络;

黑莓发布无人车网络安全软件 Jarvis 可扫描软件漏洞

媒体 1 月 16 日早间消息,加拿大软件制造商黑莓本周一发布了一个新的网络安全软件,它能够辨识无人驾驶汽车所使用的程序中所含有的漏洞。这个软件名为 Jarvis,除了无人驾驶汽车之外,它还可以被用在医疗健康以及工业自动化领域。黑莓公司希望凭借这个软件完成从手机制造商到软件制造商的转型。 黑莓公司表示,汽车制造商可以使用这个软件在软件开发的各个阶段对软件代码进行扫描,以此来寻找代码中的漏洞。 去年在世界范围内爆发的 WannaCry 勒索软件让黑莓的安全软件业务受到了人们的注意,黑莓的这项业务专注于移动设备上的安全连接。 黑莓表示他们已经与于著名汽车制造商塔塔汽车旗下的捷豹路虎一起对 Jarvis 进行了测试。捷豹路虎 CEO 表示,Jarvis 能够让代码审核所需要的时间从 30 天减少到 7 分钟。 去年 9 月,黑莓还宣布他们将于汽车零部件制造商德尔福一起开发无人驾驶汽车软件操作系统。本月早些时候,黑莓与百度签署了一项协议,双方将联合开发无人驾驶技术。除此之外,黑莓最近还与芯片制造商高通、汽车零部件制造商电装以及福特汽车公司签署了与汽车相关的协议。 稿源:cnBeta、新浪科技,封面源自网络;

美众议院通过《网络漏洞公开报告法案》

据外媒报道,本周,美国众议院通过了《网络漏洞公开报告法案 ( Cyber Vulnerability Disclosure Reporting Act ) 》。虽然这一法案的适用范围非常有限,但电子前沿基金会 ( EFF) 对此还是表示支持并希望参议院也能为其亮绿灯。 据悉,H.R.3202 是一个简短且简单的法案,由议员 Jackson Lee 发起,其将要求国土安全局 ( DHS ) 向国会提交关于政府如何处理公开漏洞的相关报告。具体点来说,报告内容分为两个部分:DHS 为协调网络漏洞公开而制定的政策和程序描述;可能为机密属性的 “ 附件 ”,包括一些特定实例的描述。 或许这一法案最好的地方就在于它能彰显政府确实如其长期以来所说的那样公开了大量漏洞。截止到目前,关于这方面的证据一直不多。所以假设政府有意公开报告和机密附件,那么公众对政府防御能力的信心极有可能会得到增强。 稿源:cnBeta,封面源自网络;

AMD 芯片也不安全 受两种 Spectre 变体漏洞影响

据媒体 1 月 12 日消息,AMD 本周四表示,两种 Spectre 变体漏洞都会对公司处理器构成威胁,就在几天前,AMD 还说其中一种漏洞影响公司处理器的机率几乎为零。AMD 发表声明称,在芯片是否容易受到 Spectre 影响这件事情上,公司的立场并没有改变,尽管如此,AMD 刚一发表声明股价就下跌 4.0% 。 上周,安全专家披露一组漏洞,黑客可以利用漏洞从设备窃取敏感信息,几乎每一款安装英特尔、AMD、ARM 芯片的设备都受到影响。 不过投资者相信 AMD 芯片的风险比英特尔低一些。1月3日,漏洞消息公布之后 AMD 股价大涨近 20%,投资者认为 AMD 将会从英特尔手中夺回一些市场份额,英特尔芯片对三种变体漏洞都缺乏免疫力。AMD 没有受到 Meltdown 影响,这一点没有变。 周四公布消息之后,AMD 股价盘后下跌 4%,降至 11.65 美元;后来恢复到 11.80 美元,下跌 2.9%。 1 月 3 日,AMD 曾说公司的芯片会受到一种 Spectre 变体漏洞影响,至于第二种 Spectre 变体漏洞,影响 AMD 芯片的概率几乎为零。在周四的声明中,AMD 却说第二种 Spectre 同样对 AMD 有效,从本周开始,AMD 将会发布面向 Ryzen、EPYC 处理器的补丁,未来几周还会发布补丁修复更老的芯片。 AMD 首席技术官马克·裴波马斯特 ( Mark Papermaster ) 在周四的博文中表示:“虽然我们相信 AMD 处理器架构很安全,2 号变体漏洞难以发挥作用,我们还是与产业密切合作,应对威胁。” 稿源:cnBeta、新浪科技,封面源自网络;

大量比特币钱包暴露,开发商 Electrum 紧急修复 JSONRPC 接口漏洞

外媒 1 月 10 日消息,知名钱包开发商 Electrum 近期针对其比特币钱包的 JSONRPC 接口漏洞发布了安全补丁。 据悉,该漏洞允许托管 Electrum 钱包的恶意网站通过 Web 浏览器窃取用户的加密货币,研究人员猜测这可能与 JSONRPC 接口中的密码暴露有关。此外,攻击者还可以利用该漏洞获得私人数据,例如比特币地址、交易标签、地址标签、钱包联系人等信息。目前该漏洞影响了几乎所有平台上的 Electrum 2.6 – 3.0.4 版本。 研究人员介绍了该漏洞的具体细节:当 Electrum 后台程序运行时,在 web 服务器上不同虚拟主机的攻击者可以通过本地的 RPC 端口轻易地访问 electrum 钱包。此外,该漏洞还允许攻击者在运行 Electrum 时修改用户设置。 相关媒体报道称该漏洞早在两年前就已经存在,Electrum 之前也发布过针对该漏洞的安全补丁,不过当时并未起到作用。研究人员建议用户应升级其 Electrum 软件,并停止使用旧版本。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

微软公布 CPU 漏洞修复性能结论:4 代酷睿+ Win7 受伤最深

普通的 Windows 电脑在打上微软修补 Meltdown 和 Spectre 漏洞的补丁后,到底性能会下降吗?民间测试结论各异,其中还不乏耸人听闻的 “ 标题党 ” ,对此,微软终于官方发声。微软 Windows 和设备执行副总裁 TERRY MYERSON 今天在微软官方博客撰文,希望外界可以更好地理解修复和性能之间的关系。 关于漏洞的说明,微软的整理是目前最为详细的—— 其中第一种形式(Variant 1,简称 V1 )“ Bounds Check Bypass(绕过边界检查/边界检查旁路)” 和第二种形式 “ Branch Target Injection(分支目标注入)” 属于 Spectre(幽灵),而第三种 “ Rogue Data Cache Load(恶意的数据缓存载入)” 则属于 Meldown(熔断)。 其中,V1 和 V3 均不需要处理器微代码更新(即 BIOS 更新),V2 则需要。 对于 V1,Windows 的解决方式是二级制编译器更新和从 JS 端加固浏览器,对于 V2,微软需要 CPU 指令集更新,对于 V3,需要分离内核和用户层代码的页表。 性能影响 Myerson 称,微软发现,修复 V1/V3 对性能的影响微乎其微,问题的关键在于 V2 对底层指令集做了修改,导致成为性能损失的主因,以下是微软的测试结论—— 1、搭载 Skylake/Kaby Lake 或者更新的处理器平台的 Windows 10 系统,降幅在个位数,意味着,绝大多数用户都感受不到变化,因为即便慢,也是在微妙之内。 2、搭载 Haswell 或者更早的处理器的 Windows 10 平台,影响已经有些显著了,可能部分用户已经可以觉察出来。 3、搭载 Haswell 或者更早的处理器的 Windows 7/8.1 平台,大部分用户会明显感受到性能削弱。 4、任何处理器的 Windows Server 平台,尤其是密集 I/O 环境下,在执行代码分离操作时性能降幅会异常明显。 微软称,Windows 7/8 在架构时由于使用了过多的用户到内核过渡,导致影响更明显。 微软最后表示,会继续和合作伙伴一道致力于更优质的安全方案开发。 结合 AMD 的声明,他们的 CPU 架构对 Meldown 也就是 V3 是完全免疫,但 Spectre 的第一种形式则需要配合操作系统更新实现。 稿源:cnBeta、快科技,封面源自网络;

在泄露数百万用户数据后,玩具制造商伟易达被 FTC 处以 65 万美元罚款

据外媒报道,2015 年智能玩具制造商伟易达( VTech )的安全漏洞导致数百万家长和孩子的数据遭曝光。日前美国联邦贸易委员会 ( FTC ) 宣布对其处以 65 万美元的罚款。这家香港公司生产各种 “ 智能 ” 玩具,并鼓励家长和孩子们在伟易达网站上完善个人资料。 2015 年 11 月,伟易达承认在一次数据泄露事件中,数百万用户数据遭黑客窃取。一名安全研究人员表示,其网站本身不但不安全,而且数据在传输时都没有加密,这与伟易达隐私政策中的安全声明不一致。这不仅仅是不好的做法,而且违反了美国儿童网路隐私保护法 COPPA 。美国联邦贸易委员会随后介入调查。 受影响的家长和儿童的数量很难估计,但当时有近 500 万父母记录和 22.7 万个儿童记录显示可以访问。然而联邦贸易委员会在其调查笔记摘要中写到: 约有 225 万名家长在 Learning Lodge  注册并创建了近 300 万名儿童的帐户。其中包括大约 638,000 个 Kid Connect 账户。此外,截至 2015 年 11 月,美国大约有 13.4 万名父母为 13 多万名儿童创建了 Planet VTech 账户。 另外,加拿大隐私专员办公室办公室( OPC )写道,“ 超过 50 万加拿大儿童及其父母 ” 受到影响。 联邦贸易委员会周一公布了调查结果,即伟易达曾以多种方式违反了美国的法律,未能按照承诺和要求保证数据的安全。FTC 对这家公司处以 65 万美元的罚款。加拿大的 OPC 似乎还没有采取任何措施。 稿源:cnBeta,封面源自网络;

CentOS 发布内核安全补丁:修复 Meltdown 和 Spectre 漏洞

CentOS 团队近日面向 64 位(x86_64)CentOS 7 在内的多个版本发布内核安全补丁,重点修复了日前爆发的 Meltdown(熔断)和 Spectre(幽灵)两个漏洞。CentOS 7 基于 Red Hat Enterprise Linux 7,本次发布的安全更新是在 Red Hat 近期发布的修复补丁上进行定制优化的。 目前存在问题的软件包括: kernel-3.10.0-693.11.6.el7.x86_64.rpm、kernel-abi-whitelists-3.10.0-693.11.6.el7.noarch.rpm、 kernel-debug-3.10.0-693.11.6.el7.x86_64.rpm、kernel-debug-devel-3.10.0-693.11.6.el7.x86_64.rpm、 kernel-devel-3.10.0-693.11.6.el7.x86_64.rp 以及 kernel-doc-3.10.0-693.11.6.el7.noarch.rpm。 此外 kernel-headers-3.10.0-693.11.6.el7.x86_64.rpm、 kernel-tools-3.10.0-693.11.6.el7.x86_64.rpm、kernel-tools-libs-3.10.0-693.11.6.el7.x86_64.rpm、 kernel-tools-libs-devel-3.10.0-693.11.6.el7.x86_64.rpm、 perf-3.10.0-693.11.6.el7.x86_64.rpm 和 python-perf-3.10.0-693.11.6.el7.x86_64.rpm 也需要更新。 CentOS 维护人员 Karanbir Singh 推荐所有 CentOS 7 用户尽快安装补丁包,仅尽可能的告知身边同样存在两款 CPU 漏洞的用户打上补丁。 稿源:cnBeta,封面源自网络;

Intel 因底层漏洞事件遭到多方起诉:未来可能面临更多

 Intel 目前面临着因 CPU 底层漏洞事件的多起诉讼。据 Gizmodo 报告说,美国加利福尼亚州,俄勒冈州和印第安纳州三个州的的法院已经接到了对 Intel 的起诉。这三个都是大规模的集体诉讼,理由包括英特尔延迟披露这些 CPU 底层漏洞/消费者受影响几个月后才知道这些漏洞,以及随后的安全补丁导致的电脑性能下降问题。该诉讼的报告指出,由于 Intel 的补丁导致性能下滑的 PC 可能高达五到三成。 但关于这点英特尔已经表示,他们的漏洞解决方案的影响是“高强度负载”,并不会影响到普通用户的使用。 目前来看,这个底层漏洞周三才正式公布,所以英特尔可能会面临更多的起诉。就像之前苹果公布故意拖慢老款 iPhone 机型的消息之后,在多个国家遭遇了一系列的诉讼一样。 英特尔表示,截止到本周末,受影响芯片的 90% 应该都会被修补,而像微软,谷歌和苹果这样的公司也会即时发布更新,以减轻 Spectre 和 Meltdown 漏洞的影响。 Intel CPU 漏洞问题衍生出来的安全事件已经波及全球,几乎所有的手机、电脑、云计算产品,Windows、Linux、macOS、亚马逊 AWS、谷歌安卓均中招,这两个漏洞都是越级访问系统级内存,所以可能会造成受保护的密码、敏感信息泄露。 但目前,尚未有任何一起真实世界攻击,所有的推演都来自于本地代码模拟。 相关阅读: 英特尔市值两日蒸发逾 110 亿美元 AMD 成大赢家 Linux 之父批英特尔避重就轻 没承认问题 Intel 被曝发布 8 代酷睿 CPU 前就知晓漏洞 稿源:cnBeta、快科技,封面源自网络;

英特尔芯片漏洞背后:已与其它公司应对数个月

据媒体报道,计算机芯片被曝存在安全漏洞,乍看之下似乎给英特尔带来了一场突如其来的危机,但在这背后它和其它的科技公司以及专家其实对付该问题已经有数个月。今天,苹果成为了最新一家承认受到芯片漏洞影响的科技巨头。该公司表示,所有的 iPhone、iPad 和 Mac 电脑都受到影响,公司已经发布更新来修复漏洞。 英特尔、它的主要竞争对手 AMD 以及芯片设计厂商 ARM 本周均称,它们的部分处理器存在可能会被黑客利用的安全漏洞,这一问题影响电脑、智能手机和其它设备所使用的各种芯片,但到目前为止与任何的黑客攻击事件都无关联。 在芯片漏洞本周被曝光以前,芯片厂商们以及它们的客户和合作伙伴,包括苹果、Alphabet 旗下的谷歌、亚马逊和微软,就已经在加紧解决问题。一个由大型科技公司组成的联盟在联手保护它们的服务器,并向用户的计算机和智能手机提供补丁。 所涉的漏洞可能会让黑客能够窃取诸如密码的敏感信息,影响范围包括来自各家公司的多数现代芯片。但主导服务器和 PC 芯片市场的英特尔受到了最为直接的影响,它的股价连续两天出现下跌。 去年 6 月 1 日,谷歌 Project Zero 安全团队的一位成员告知英特尔和其它的芯片厂商漏洞的问题。即便早早就知道,英特尔等公司也仍在努力解决安全漏洞。一个问题在于,将安全更新推送到数十亿部设备。另一个问题在于,部分安全补丁可能会减慢设备的运行,因为那些漏洞影响到意在提高处理器运行速度的芯片功能。 截至周四,各家企业都表示没有发现利用芯片漏洞的黑客攻击证据。要是黑客真那么做,那他们很可能会去攻击英特尔制造的芯片。那是因为该公司是全球第一大微处理器厂商,其芯片内在的漏洞至少可以追溯到 10 年前。 该问题引发了人们对英特尔产品安全性的怀疑,众多客户需要采取行动保护自身的系统。它也凸显了一点:芯片和运行于芯片的软件日益复杂化,让它们变得难以锁定,同时也使得它们会隐藏数年未被发现的漏洞。 “人们在重新评估现代硬件安全属性的核心原则。我们的很多假定都被违反了,需要重新进行评估。”安全研究者科恩·怀特(Kenn White)指出。 不过,在科技战略研究公司 Tirias Research 的吉姆·麦克格雷格(Jim McGregor)看来,英特尔受到的影响可能会很有限。“ 当你掌控很大一部分市场,你广泛地覆盖客户的时候,你能够逃脱惩罚。” 他说道。 英特尔说,预计到下周末,它就能向过去 5 年推出的 90% 以上处理器提供软件更新。 其它的公司已经发布补丁。苹果称,除了它的移动设备和电脑以外,Apple TV 电视机顶盒也受到影响,Apple Watch 智能手表倒没受影响。它还说,为苹果 Safari 网络浏览器解决 Spectre 漏洞的补丁预计将在未来几天发布。 苹果指出,它的补丁不会造成设备运行变慢。谷歌周四也表示,它所开发的补丁“对设备性能的影响可以忽略。”英特尔称,对于普通用户来说,任何性能减退都会很有限,且会随着时间的推移而慢慢消失。它还说,公司计划在一年内重新设计芯片,预计此次安全问题不会带来任何的财务影响。 周四,英特尔股价下跌到 44.43 美元,较周二的收盘价(漏洞问题曝光以前)累计下跌 5.2% 。包括 AMD 和英伟达在内的其它芯片厂商股价则出现上扬。 问题存在已久 研究人员接触那些漏洞已经有一年多的时间。2016 年 8 月,在拉斯维加斯的 Black Hat 网络安全大会上,两位研究者安德斯·福格(Anders Fogh)和丹尼尔·格拉斯(Daniel Gruss)演示了漏洞的早期迹象。福格在去年7月还就此发表博文,鼓励其他的研究者去展开调查。 与此同时,谷歌内部的安全研究团队 Project Zero 的雅恩·霍恩(Jann Horn)早已揭开该问题,并通知了英特尔。最终,来自全球各地的三个其它的研究团队就同样的问题联系英特尔,英特尔接着与他们一道交流和撰写论文。其中一位研究者丹尼尔·格恩金(Daniel Genkin)指出,他们发现芯片的漏洞可追溯到 2010 年,并认为那些问题甚至可追溯到更久以前。“ 带来这种漏洞的通用架构原则有几十年历史了,” 他说,“ 我没有去启动一台来自 1995 年的电脑探个究竟,但那些原则那时候就存在。”福格说道,研究人员之所以同时发现同样的长期漏洞,是因为此前的研究打下了基础,其中包括他在 2016 年的演示。那为什么英特尔没有更早发现漏洞呢?“好问题,我还真回答不了。”他说。 英特尔数据中心工程副总裁史蒂芬·史密斯(Stephen Smith)指出,公司一直以来都在设法提升它的产品安全性。 监管文件显示,在英特尔与合作伙伴们一起努力解决问题期间,英特尔 CEO 布莱恩·科兹安尼克(Brian Krzanich)在去年 11 月出售他的公司股票和期权套现 2400 万美元,保留了 25 万股股票,从该公司最近的代理委托书来看,那是公司对他的最低持股量要求。 英特尔发言人表示,那次售股与此次安全问题无关,是依照预先安排的、带有自动出售时间表的计划。英特尔和由科技公司和研究者组成的大联盟计划在 1 月 9 日对外披露漏洞问题。但本周,科技新闻网站 The Register 在跟踪研究该漏洞的补丁的程序员的在线讨论后率先进行了曝光。 英特尔、AMD 和 ARM 事先通知了部分大客户,但 The Register 的报道让小公司措手不及。云计算提供商 DigitalOcean 的首席安全官约什·芬布鲁姆(Josh Feinblum)上周末从同行那里获悉漏洞问题。他说,他一直在尽可能快速地修复他的系统,对于目前的成果感到满意。 “ Linux 之父”林纳斯·托瓦兹(Linus Torvalds)批评英特尔没有承认问题,最初说芯片按照预想运行。“ 我认为,英特尔内部的某个人需要认真审视他们的 CPU 问题,承认它们存在问题,而不是撰写公关文章大肆宣称一切都如计划发展。” 他在周三致 Linux 程序员的电子邮件中写道。 怀特表示,虽然英特尔在事件的披露方面做得乱七八糟,但考虑到事情的性质和影响范围,该公司 “ 或许还算处理得不错。” 他说道,研究人员称部分补丁的开发“涉及一些新的计算机科学领域。” “ 该项工作非常复杂,复杂到令人惊异。” 该事件让人们担心,基于那些新发现的漏洞展开的攻击,可能已经发生了好几年,却未被发现。部分技术人员认为,这种情况可能性不大,因为那需要有复杂的黑客技术。例如,谷歌方面称它没能找到办法去利用 Android 手机中的漏洞,但考虑到有人或许能够利用的风险,它还是为那些设备提供安全补丁。其他人表示,如果白帽黑客——发现及修补安全漏洞的合法黑客——能够发现漏洞,那么为非作歹的黑帽黑客也能够发现。 怀特指出,随着漏洞问题如今被曝光,用户也要保护好自己。“ 这些是非常复杂的攻击,需要各种背景知识和理解。” 他说,“ 但它一旦出现,就会转变成代码攻击。” 稿源:cnBeta、网易科技,封面源自网络;