HackerNews 编译，转载请注明出处： 已发现一种新的 Android 后门，该后门具有强大的功能，可以在受感染的设备上执行一系列恶意操作。 该恶意软件被 McAfee 移动研究团队称为 Xamalicious ，之所以如此命名，是因为它使用名为 Xamarin 的开源移动应用程序框架开发，并滥用操作系统的可访问性权限来实现其目标。 它还能够收集有关受感染设备的元数据，并联系命令和控制（C2）服务器以获取第二阶段有效载荷，但前提是要确定它是否符合要求。 安全研究员 Fernando Ruiz 说，第二阶段是“在运行时级别动态注入程序集DLL，以完全控制设备，并可能执行欺诈行为，例如点击广告，安装应用程序，以及其他未经用户同意出于经济动机的行为。” 这家网络安全公司表示，它确定了 25 个带有这种主动威胁的应用程序，其中一些应用程序自 2020 年中期以来在官方 Google Play 商店中分发。据估计，这些应用程序至少被安装了 327,000 次。 大多数感染报告发生在巴西、阿根廷、英国、澳大利亚、美国、墨西哥以及欧洲和美洲其他地区。下面列出了一些应用程序 ： Essential Horoscope for Android (com.anomenforyou.essentialhoroscope) 3D Skin Editor for PE Minecraft (com.littleray.skineditorforpeminecraft) Logo Maker Pro (com.vyblystudio.dotslinkpuzzles) Auto Click Repeater (com.autoclickrepeater.free) Count Easy Calorie Calculator (com.lakhinstudio.counteasycaloriecalculator) Sound Volume Extender (com.muranogames.easyworkoutsathome) LetterLink (com.regaliusgames.llinkgame) NUMEROLOGY: PERSONAL HOROSCOPE &NUMBER PREDICTIONS (com.Ushak.NPHOROSCOPENUMBER) Step Keeper: Easy Pedometer (com.browgames.stepkeepereasymeter) Track Your Sleep (com.shvetsStudio.trackYourSleep) Sound Volume Booster (com.devapps.soundvolumebooster) Astrological Navigator: Daily Horoscope & Tarot (com.Osinko.HoroscopeTaro) Universal Calculator (com.Potap64.universalcalculator) Xamalicious 通常伪装成健康、游戏、星座和生产力应用程序，是滥用 Android 辅助功能服务的一长串恶意软件系列中的最新一个。这种软件在安装时会请求用户授权辅助功能权限，以执行其任务。     “为了逃避分析和检测，恶意软件作者加密了 C2 和受感染设备之间传输的所有通信和数据，不仅受到 HTTPS 保护，还使用 RSA-OAEP 和 128CBC-HS256 算法将其加密为 JSON Web 加密（JWE）令牌”，Ruiz 指出。 更令人不安的是，第一阶段的 dropper 包含自我更新主 Android 软件包（APK）文件的功能，这意味着它可以被武器化，以充当间谍软件或银行木马，而无需任何用户交互。 McAfee 表示，它发现了 Xamalicious  与名为 Cash Magnet 的广告欺诈应用程序之间的联系，该应用程序促进了应用程序下载和自动点击活动，通过点击广告非法赚取收入。 “使用非 Java 代码编写的 Android 应用程序以及 Flutter、react native 和 Xamarin 等框架可以为恶意软件作者提供额外的混淆层，这些作者故意选择这些工具来避免检测，并试图保持在安全供应商的雷达之下，保持他们在应用程序市场上的存在”，Ruiz 说。 Android 网络钓鱼活动使用银行家恶意软件针对印度 此次披露之际，这家网络安全公司详细介绍了一项网络钓鱼活动，该活动使用 WhatsApp 等社交消息应用程序来分发冒充印度国家银行（SBI）等合法银行的恶意 APK 文件，并提示用户安装它们以完成强制性的客户身份验证（KYC）程序。 安装后，该应用程序会要求用户授予其与短信相关的权限，并重定向到一个虚假页面，该页面不仅捕获受害者的凭证，还捕获他们的帐户、信用卡/借记卡和国民身份信息。 收集的数据与截获的 SMS 消息一起被转发到参与者控制的服务器，从而允许对手完成未经授权的交易。 值得注意的是，微软上个月警告了一场类似的活动，它利用 WhatsApp 和 Telegram 作为分发渠道，针对印度在线银行用户。 研究人员 Neil Tyagi 和 Ruiz 表示：“印度强调了这种银行恶意软件在该国数字环境中构成的严重威胁，我们在世界其他地方发现了一些攻击，可能来自居住在其他国家的印度 SBI 用户。”   消息来源：thehackernews，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Abdali 医院是一家综合性医院，位于约旦安曼的现代化开发区 Abdali。Abdali 医院为众多专科患者提供医疗服务。除了一般外科部门外，医院还有骨科和风湿病、妇科、泌尿科、内分泌科、神经科、肾脏科、肺科、内科、肿瘤科、传染病科和麻醉科部门。医院还提供包括整形外科和皮肤科在内的美容专科服务。此外，医院设有妇女健康中心，专注于乳腺癌治疗。 Rhysida 勒索软件组织声称已经入侵了 Abdali 医院，并将其添加到该组织的 Tor 泄露站点的受害者名单中。 该团伙发布了窃取文件的图片作为黑客攻击的证据。泄露的图片包括身份证、合同等内容。 “只剩 7 天时间，准备好你的资金，把握这个机会来竞购独家数据。我们只向一方出售，不再转售，你将成为独家数据唯一的拥有者！”Rhysida 勒索软件团伙在其 Tor 泄露站点上发布的声明中这样写道。   勒索软件团伙声称窃取了大量“敏感数据”，并以 10 比特币的价格进行拍卖。与往常一样，Rhysida 勒索软件操作者计划将被盗数据售给单一买家。团伙将在公告后的七天内公开发布数据。 在 11 月底，该勒索软件团伙声称已经黑入伦敦的爱德华七世医院，以及大英图书馆和中国能源工程公司。 Rhysida 勒索软件团伙自 2023 年 5 月以来一直活跃。根据该团伙的 Tor 泄露网站显示，至少有 62 家公司成为了该团伙的受害者。该勒索软件团伙攻击了多个行业的组织，包括教育、医疗保健、制造业、信息技术和政府部门。 上周，FBI 和 CISA 发布了一份联合网络安全建议（CSA），警告 Rhysida 勒索软件攻击。该建议是持续的 StopRansomware 行动的一部分，旨在传播与勒索软件团伙相关的战略、技术和程序（TTPs）以及妥协指标（IOCs）的信息。该报告包括最近在 2023 年 9 月调查中确认的 IOCs 和 TTPs。 “利用 Rhysida 勒索软件的攻击对象包括教育、医疗保健、制造业、信息技术和政府部门。开源报告详细描述了 Vice Society (DEV-0832) 活动与部署 Rhysida 勒索软件的行为者之间的相似性。”联合建议中写道。 “此外，开源报告已确认观察到的 Rhysida 行为者以勒索软件即服务（RaaS）的形式运作，其中勒索软件工具和基础设施以分成模式出租。支付的赎金随后在团伙和合作伙伴之间分配。” Rhysida 行为者利用外部面向的远程服务（例如VPN、RDP）获得目标网络的初始访问权并保持持久性。该团伙依靠窃取的凭证来认证内部 VPN 访问点。根据该建议，黑客在网络钓鱼尝试中利用了 Microsoft 的 Netlogon 远程协议中的 Zerologon（CVE-2020-1472）漏洞。 该组织依靠本地（内置于操作系统中）网络管理工具等技术来执行恶意操作。   消息来源：securityaffairs，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个调查勒索软件威胁的英国议会委员会建议英国政府采取更积极的态度对抗黑客，并表示政府应考虑强制执行事件报告，并为公共部门受害者提供政府支持，“直至完全恢复”。 在周三发布的一份报告中，国家安全战略联合委员会还建议创建一个政府支持的网络保险机制，并使副首相负责提高国家抵御网络勒索的工作。委员会警告称，一次黑客攻击可能对公共服务造成“严重损害”。但委员会称内政部成员似乎对这个问题不感兴趣。 该委员会写道：“政府随时面临灾难性勒索软件攻击的风险，但又缺乏相关的计划。”“勒索软件成为更紧迫的政治优先事项至关重要。” 在一年多的调查中，该委员会听取了多方利益相关者的意见，包括英国国家犯罪局局长、网络安全和保险高管，以及一位前美国代理副司法部长的意见 该委员会建议政府要求所有勒索软件受害者在事件发生后三个月内通知当局，这与国家犯罪局NCA的立场相反。 NCA负责人Graeme Biggar告诉委员会，他不知道其他需要受害者必须报告事件的犯罪。但委员会认为，对于勒索软件，如果受害者没有足够的动力主动提出，“这便很难充分理解勒索软件威胁的性质和规模，以及如何做出最好地应对。”委员会称，只有2%至10%的网络犯罪引起了执法部门的注意。 委员会补充说，无论是否有报告要求，政府都应建立一个中央报告机制。 委员会还建议为NCA和国家网络安全中心提供更多资源，以便他们可以支持公共部门受害者。国家网络安全中心还应调查它是否可以建立一个由行业主导的机构，为慈善机构和小企业提供免费的勒索软件恢复援助。 报告中对NCA提出了额外的批评，报告中的成员称，该机构只有5%的员工构成了国家网络犯罪部门。委员会写道，该机构应该获得更多资金，以渗透和破坏等方式与黑客进行勒索软件斗争。 它引用了智库皇家联合服务研究所提交的一份声明，“政府不能仅仅通过弹性建设措施简单地在英国周围建造一堵大墙。” 委员会说，使勒索软件成为更大的政治优先事项应该包括将反勒索软件的行为责任从内政部转移到内阁办公室，并由副首相直接监督，目前内政部并没有优先考虑这个问题。 报告指出，在内阁办公室，这个问题可以被视为跨政府的国家安全优先事项。 一名委员会证人，一名当地政府官员告诉小组，她所在的英格兰北部行政区负担不起网络保险。在2020这个行政区年经历了勒索软件攻击。 报告描述英国网络保险“处于极度糟糕的状态”，在这种状态下，保险公司正在提高保费，并且对于那些能够负担得起的人来说，需求超过了容量。英格兰和威尔士的一个地方当局协会告诉委员会，网络保险的高昂价格导致许多议会领导人选择将有限的资金用于提高弹性。 委员会成员表示，由于“英国严重缺乏保险”和负担不起的保费，政府应与保险业合作，制定类似于洪水保险的公共部门再保险计划。 这项建议面临着一场艰苦的战斗，至少在首相里希·苏纳克（Rishi Sunak）的保守党政府中是这样。 副总理奥利弗·道登（Oliver Dowden）告诉委员会，“其主要立场是，在市场可以履行这一职能的情况下，它不会干预承担风险责任。”   消息来源：inforisktoday，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Proofpoint 网络安全公司获悉，一名疑似俄罗斯黑客正在通过电子邮件模仿求职者，从潜在雇主那里窃取有价值的数据。 该组织的新策略被分析师标记为 TA4557，标志着与之前观察到的在招聘公告板上上传虚假申请的策略背道而驰。 Proofpoint自2018年以来一直在跟踪这个团队，Proofpoint表示，“在最近观察到的活动中，TA4557不仅使用了直接通过电子邮件联系招聘人员的新方法，还使用了在公共招聘公告板上发布职位的旧技巧来启动攻击链”。 上当受骗的企业和其他组织最终会将他们的计算机系统暴露给跟踪其机器的恶意软件，并可能为进一步利用漏洞窃取有价值的数据铺平道路。 Proofpoint最近观察到的活动似乎是俄罗斯附属组织针对雇主的持续运动中的最新一次。2021年，在FBI发布警告称黑客正在利用在线招聘市场作为攻击途径后，Proofpoint在2021年发布了关于TA4557活动的类似警告。 个性化风格 新版本的攻击似乎应用了更个性化的风格，通过精心模仿求职信电子邮件和求职者简介，引诱粗心的雇主激活恶意软件，窃取数据并密切关注他们的机器。 Proofpoint表示：“在使用新的直接电子邮件技术的攻击链中，一旦收件人回复了最初的电子邮件，就会观察到黑客使用链接到黑客控制的网站的URL，假冒作为求职者简历”。 Proofpoint 发现的 TA4557 使用的另一种方法是回复另一封包含 PDF 或 Word 附件的电子邮件，其中包含指示目标访问假简历网站的指令。 Proofpoint在上个月观察到的一种活动策略，涉及在初始电子邮件中引导目标“通过我的电子邮件地址的域名来访问我的个人作品集”，而不是在后续回复中直接发送简历网站的URL。 Proofpoint分析认为，这种专门针对网上公布的真实职位空缺并通过电子邮件实施的策略，其目的是在欺诈者与目标对象之间建立更深层次的联系，以便更有说服力地欺骗他们。 Proofpoint表示：“电子邮件的语气和内容让收件人觉得黑客是一个合法的候选人，因为黑客专门针对招聘和雇佣工作的人员，这些电子邮件并不立即显得可疑。” 它补充说，为了保持灵活性并领先于调查人员一步，TA4557经常更改发送者电子邮件、假简历域名和其他支持基础设施。 恶意代码 在基本机制方面，网络攻击通过一系列操作进行。 Proofpoint说：“候选人网站使用了一个验证码，如果完成，将启动一个包含快捷方式文件（LNK）的zip文件的下载。” 然后，LNK“滥用合法软件功能”下载并执行安装后门的特殊代码，这是一种非法访问目标系统的方法，称为“More_Eggs”，“可用于建立持久性、分析机器并删除额外的有效载荷。” 工作完成后，代码会自行删除，进一步帮助掩盖黑客的踪迹。 Proofpoint 敦促未来的雇主更加警惕，并指示员工在招聘更多员工时要谨慎行事。 报告称：“使用第三方招聘网站的组织应该了解该黑客的策略、技术和程序，并对员工，特别是负责招聘和聘用职能的员工进行有关这一威胁的教育。”   消息来源：cybernews，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 迪拜出租车公司（DTC）提供出租车、豪华轿车和其他交通服务，控制着迪拜44%的市场份额。 DTC运营着7,000多辆汽车，并拥有14,000名司机合作伙伴，是阿拉伯联合酋长国人口最多的城市中最大的服务提供商。DTC应用在Google Play商店的下载量超过100,000次。 由于数据库对公众开放，DTC应用程序泄露了大量敏感信息。Cybernews研究团队发现，超过197,000名应用用户和近23,000名司机的信息被曝光。 根据CyberNews团队的说法，泄露的数据存储在一个开放的MongoDB数据库中，该数据库现已关闭。企业使用MongoDB来组织和存储大量的面向文档的信息。 研究人员认为，泄露的数据库可能是用于开发目的的生产数据库，因为它包括客户数据、日志、司机的个人可识别信息（PII）、注册和银行详细信息，以及乘客订单详细信息。数据覆盖了2018年至2021年的时间段。 暴露的DTC应用用户数据包括电子邮件地址、电话号码、电话型号以及用于电子邮件、登录、会话和注册的应用令牌。令牌通常用作用户帐户的数字钥匙，理论上，暴露令牌可能导致未经授权的账户访问。 除了近20万名客户的信息外，DTC应用的开放数据库还泄露了22,952名司机的信息，包括：驾驶执照号码、工作许可证号码、国籍、用户名、加密密码、电话号码。 在线司机应用程序日志包含了高达1TB的数据，包括位置详情、IP地址、司机是否使用VPN服务，甚至包括设备电池状态。 “这个全面的数据集可以使威胁行为者从事各种恶意活动，从有针对性的网络钓鱼攻击和身份盗窃到利用个人的旅行模式进行犯罪目的，”Cybernews研究团队说。“这次信息泄露只是强调了采取迅速有效措施来减轻潜在危害并保护受损信息的迫切需要。”   消息来源：cybernews，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰最大的服务提供商Kyivstar在一次重大网络攻击后陷入瘫痪。 Kyivstar移动网络基于固定和移动技术的广泛范围，包括乌克兰的4G（LTE），为将近2600万移动客户和超过100万宽带固定互联网客户提供通信服务和数据传输。 12月12日早上，该公司宣布遭受了一次网络攻击，所有移动通信和互联网接入暂时中断。 Kyivstar通知了执法机构和当地政府，包括乌克兰安全局（SSU）。乌克兰安全局宣布，根据乌克兰刑法的八项条款，已对这次网络攻击开展了刑事诉讼。 该公司补充说，其订户的个人数据没有受到泄露。 公司首席执行官Oleksandr Komarov表示，这次攻击是“持续冲突的结果”，他还解释说，IT基础设施已被“部分破坏”。 “战争也在网络空间发生。不幸的是，我们因这场战争而受到打击”，Komarov在全国电视广播中说。 Komarov解释道，包含客户数据的两个数据库已受损并且目前被锁定。 乌克兰SBU情报机构告诉路透社，他们正在调查，事故的可能性之一是由俄罗斯安全机构发起的网络攻击。路透社报道称，俄罗斯外交部尚未对置评请求作出回应。 这次攻击很可能是一次战争行为，目的是攻击和破坏乌克兰关键基础设施。这次攻击不是出于财务动机，攻击者也没有使用任何假旗行动来掩盖攻击的性质。 一位乌克兰网络防御内部的消息人士告诉路透社，俄罗斯被怀疑是攻击的来源。 该消息人士说：“这绝对是国家黑客，没有赎金，全是破坏，所以这不是出于财务动机的攻击。” 由于Kyivstar服务的中断，乌克兰内政部长Ihor Klymenko说，乌克兰人可以在最近的警察或消防部门联系家人或紧急服务。 紧急电话101、102和112仍在运行。   消息来源：SecurityAffairs，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰国防部主要情报局的黑客宣布，他们已经入侵了俄罗斯联邦税务局千台服务器，并清除了数据库和备份。 军事情报部门表示，这次黑客攻击是在俄罗斯境内成功开展特别行动的结果。 乌克兰国防部主情报局发布的声明中写道：“在这次特别行动中，军事情报部门成功入侵了俄罗斯联邦税务局的一个关键且防护良好的中央服务器，以及俄罗斯境内和暂时被占领的克里米亚地区的2300多个区域服务器。” 声明称，“由于这次网络攻击，所有服务器都感染了恶意软件。与此同时，为俄罗斯联邦安全局服务的俄罗斯IT公司Office.ed-it.ru也以同样的方式遭到了攻击。” 声明还称，乌克兰军事情报部门还能够捕获整个俄罗斯的税务数据的互联网流量。这次网络攻击还中断了俄罗斯联邦税务局中央办公室与2300个地区办公室之间的通信。 俄罗斯机构的专家连续四天试图恢复服务但未成功。乌克兰情报部门认为，俄罗斯联邦税务局将至少一个月无法正常运作，税务系统完全恢复是不可能的。 声明最后总结道：“乌克兰国防部的这次网络攻击是对克里姆林宫政权的又一严重打击，该政权暂时失去了对税收和费用的控制。” 11月底，乌克兰情报部门宣布他们已经黑客攻击了俄罗斯联邦航空运输局”Rosaviatsia”，这次攻击是一次复杂的特别网络行动的结果。Rosaviatsia是负责俄罗斯民用航空监管和管理的政府机构，其主要职责是确保国内航空运输的安全、安保和效率。 这些国家支持的黑客声称他们窃取了包含俄罗斯航空业危机证据的敏感文件。 今天，乌克兰最大的服务提供商Kyivstar遭到了一次网络攻击，其服务被瘫痪。这次攻击与持续的冲突有关。   消息来源：SecurityAffairs，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 上周，美国网络安全和基础设施安全局（CISA）将两个Qlik Sense漏洞添加到其已知被利用漏洞（KEV）目录中。以下是添加到目录中的问题列表： CVE-2023-41265（CVSS评分9.6）- Qlik Sense HTTP隧道漏洞：Qlik Sense包含一个HTTP隧道漏洞，允许攻击者提升权限并在托管软件的后端服务器上执行HTTP请求。 CVE-2023-41266（CVSS评分8.2）- Qlik Sense路径遍历漏洞：Qlik Sense包含一个路径遍历漏洞，允许远程未经验证的攻击者通过发送恶意构造的HTTP请求创建匿名会话。这个匿名会话可能允许攻击者向未经授权的端点发送进一步请求。 网络安全公司Praetorian的研究人员在2023年8月发现了这两个漏洞。著名研究员Kevin Beaumont指出，攻击者开始利用Praetorian发布的完整漏洞链进行攻击。 Arctic Wolf的研究人员也观察到攻击者在Cactus勒索软件团伙发起的攻击中利用这两个漏洞。 根据绑定操作指令（BOD）22-01：减少已知被利用漏洞的重大风险，FCEB机构必须在截止日期之前解决已识别的漏洞，以保护其网络免受利用目录中漏洞的攻击。 专家还建议私人组织审查目录并解决其基础设施中的漏洞。 CISA要求联邦机构在2023年12月28日之前修复这些漏洞。   消息来源：SecurityAffairs，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 肯塔基州和印第安纳州的非营利性医疗企业Norton Healthcare，由数十家诊所和医院组成，在大路易斯维尔和印第安纳南部的140多个地点拥有20,000多名员工与1,750多名受雇医疗提供者。 12月18日，该企业通知客户发生了一起“网络安全事件”，影响了企业的内部系统。 根据发送给受影响客户的通知，此事件被“确定为勒索软件攻击”。 Norton声称已经通知了联邦调查局，从安全备份中恢复了其系统，并未支付任何形式的赎金。缅因州总检察长办公室表示，这起勒索软件攻击影响了2,500,000人。 根据公司调查，一些网络存储设备在2023年5月7日至5月9日期间遭到不明黑客的访问。虽然这次侵入未涉及Norton Healthcare的医疗记录系统或其在线医疗记录平台Norton MyChart，但黑客仍然获取了包括所有病人、员工及其家属和受益人在内的部分个人数据。 这些数据包括姓名、联系信息、出生日期、社会安全号码、健康信息、保险信息和医疗识别号码以及驾驶执照号码或其他政府身份证号码、金融账户号码和数字签名。 Norton为受影响个人提供了两年的免费信用监控和身份盗窃保护服务。   消息来源：cybernews，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNws编译，转载请注明出处： 来自阿姆斯特丹自由大学的研究人员披露了一种名为SLAM的新侧信道攻击，可被利用来从当前和即将推出的Intel、AMD和Arm处理器的内核存储器中泄漏敏感信息。 该攻击是一种基于Spectre的端到端利用，利用了Intel处理器中称为线性地址掩码（LAM）的新功能，以及AMD（称为Upper Address Ignore或UAI）和Arm（称为Top Byte Ignore或TBI）的类似对应功能。 “SLAM 利用未屏蔽的gadgets，使得用户空间进程能够泄漏任意ASCII内核数据”， VUSec研究人员表示，并补充说，“它可以被利用来在几分钟内从内核存储器中泄漏根密码哈希”。 尽管LAM被提出作为一项安全功能，但讽刺的是，研究发现它实际上降低了安全性并“显著”增加了Spectre攻击面，导致了瞬时执行攻击。这种攻击利用了推测执行，通过缓存隐蔽通道提取敏感数据。 “瞬时执行攻击利用了瞬时指令的微体系结构副作用，从而允许恶意对手访问通常由架构访问控制机制禁止的信息”，Intel 在其术语文档中表示。 被描述为针对未来CPU的第一种瞬时执行攻击的SLAM，利用了一种基于非规范地址转换的新秘密通道，有助于实际利用通用Spectre小工具泄漏有价值的信息。它影响以下CPU： 已知受到CVE-2020-12965影响的现有AMD CPU 未来支持LAM的Intel CPU（包括4级和5级分页） 未来支持UAI和5级分页的AMD CPU 未来支持TBI和5级分页的Arm CPU Arm在一份咨询中表示，“Arm系统已经对抗Spectre v2和BHB，而且被认为是软件自己的责任来保护自己免受Spectre v1的侵害，所描述的技术只是通过增加可利用小工具的数量来增加现有漏洞（如Spectre v2或BHB）的攻击面。” AMD也指出了当前用于应对SLAM攻击的Spectre v2缓解措施。另一方面，Intel打算在未来支持LAM的Intel处理器发布之前提供软件指导。与此同时，Linux维护人员已经开发了用于默认禁用LAM的补丁。 这些发现出现在VUSec揭示了Quarantine的信息近两个月之后。Quarantine是一种仅基于软件的方法，用于缓解瞬时执行攻击并通过将最后一级缓存（LLC）进行分区实现物理领域隔离，使每个安全领域具有对LLC不同部分的独占访问，以达到消除LLC隐蔽通道的目的。 研究人员表示，“Quarantine的物理领域隔离将不同的安全领域隔离在不同的核心上，防止它们共享核心本地的微体系结构资源。此外，它取消了LLC的共享，将其在安全领域之间进行分区。”   内容来源：thehackernews，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文