本周三英特尔召开发布会，正式透露在修复安全漏洞的补丁更新后计算机的性能衰减详情。英特尔强调修复补丁对于计算机性能的影响取决于工作负载和配置，此次性能影响将对运行着高负载老旧芯片型号会受巨大影响，而运行 Windows 10 系统的最新芯片的性能影响会微乎其微。 英特尔表示，它在服务器平台上进行了一系列测试，发现通常由企业和云客户执行的常见工作负载的影响可能会达到2％。数据中心集团总经理纳辛·谢诺（ Navin Shenoy ）解释说，根据模拟经纪公司客户经纪人与证券交易所互动的模拟线上交易处理（ OLTP ）基准，这一性能衰减可能达到 4％。而对处理大数据量的服务器的性能影响情况尤其严重，英特尔称这些配置的性能影响可高达 25%， 英特尔官员还补充说，该公司正在与合作伙伴合作，降低补丁对性能的影响，Google 的解决方案在这方面可能派上用场。 稿源：cnBeta，封面源自网络；

据国外媒体报道，甲骨文公司周二表示发布了一个关键补丁，为其某些产品修复英特尔公司芯片漏洞。 该公司在其网站上说，这个关键补丁包含了多个 Oracle 产品中的 237 个新的安全修复程序。 另外，技术网站 The Register 报道，引用 Oracle 客户专用门户网站上的一篇文章说，SPARCv9 上某些版本的 Oracle Solaris 受到其中一个名为 Specter 的芯片缺陷的影响，该公司正在为其开发一个安全补丁。目前甲骨文拒绝就此报道发表评论。 稿源：、TechWeb，稿件以及封面源自网络；

外媒 1 月 15 日消息，IT 管理软件和监控工具供应商 SolarWinds 通过分析发现，Spectre / Meltdown 补丁使其亚马逊网络服务（ AWS ）基础设施的性能严重下降。 据悉，SolarWinds 在半虚拟化的 AWS 实例上图形化地表现了“ Python worker service tier ” 的性能。如下图所示，在亚马逊重启 SolarWinds 使用的 PV 实例后，CPU 使用率跃升至 25％ 左右。 与此同时，SolarWinds 对其 EC2 HVM 实例的性能也进行了监控，发现在 Amazon 推出 Meltdown  的补丁时性能开始下降，并且不同的服务层的 CPU 颠簸也非常明显。 根据数据显示，结果并不可观，比如 Kafka 集群的数据包速率降低了 40％，而 Cassandra 的 CPU 使用率则猛增了 25％。 不过 SolarWinds 表示，目前 CPU 水平似乎正在返回到 HVM 之前的补丁水平，但并不清楚实例中 CPU 使用率降低是否与额外的补丁有关。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

媒体 1 月 16 日早间消息，加拿大软件制造商黑莓本周一发布了一个新的网络安全软件，它能够辨识无人驾驶汽车所使用的程序中所含有的漏洞。这个软件名为 Jarvis，除了无人驾驶汽车之外，它还可以被用在医疗健康以及工业自动化领域。黑莓公司希望凭借这个软件完成从手机制造商到软件制造商的转型。 黑莓公司表示，汽车制造商可以使用这个软件在软件开发的各个阶段对软件代码进行扫描，以此来寻找代码中的漏洞。 去年在世界范围内爆发的 WannaCry 勒索软件让黑莓的安全软件业务受到了人们的注意，黑莓的这项业务专注于移动设备上的安全连接。 黑莓表示他们已经与于著名汽车制造商塔塔汽车旗下的捷豹路虎一起对 Jarvis 进行了测试。捷豹路虎 CEO 表示，Jarvis 能够让代码审核所需要的时间从 30 天减少到 7 分钟。 去年 9 月，黑莓还宣布他们将于汽车零部件制造商德尔福一起开发无人驾驶汽车软件操作系统。本月早些时候，黑莓与百度签署了一项协议，双方将联合开发无人驾驶技术。除此之外，黑莓最近还与芯片制造商高通、汽车零部件制造商电装以及福特汽车公司签署了与汽车相关的协议。 稿源：cnBeta、，稿件以及封面源自网络；

苹果刚刚通过调低官换电池的价格，企图挽回 iPhone 降速门的负面影响，但随着 Spectre 和 Meltdown 两个超级漏洞席卷全球，iPhone/iPad/Mac 等受到波及。最新的 iOS 11.2.2 中添加了相关修复，不过就像 Intel 处理器打上补丁之后性能下降一样，iPhone 的 A 系列芯片也没有好到哪儿去。 1 月 13 日，GSMarena 对 iPhone 6S/7/8 升级修复更新前后的性能进行了对比，结果如下。 iPhone 8 Plus 升级前后 从 iOS 11.1.2 升级到 11.2.2 后，A11 芯片的跑分下降了 0.5% 左右。 iPhone 7 升级前后 A11 在安兔兔中的跑分居然在升级后上升了 3% iPhone 6s 升级前后 A9 芯片在安兔兔中性能下降了 12% 这个问题之所以引人注目是因为，此前荷兰网站 Melvin Mughal 测得，iPhone 6 的 A8 芯片在升级 iOS 11.2.2 后，性能跑分居然暴跌 41% 之多。 仅从这份测试来看，A10/A11 在修复漏洞后的性能损失可忽略，不过较老的 A9/A8 似乎是不容乐观。 相关阅读： 修复 CPU 漏洞后 i7 版 Surface Book 重伤：SSD 性能腰斩 稿源：cnBeta、快科技，封面源自网络；

芬兰 F-Secure 公司安全研究人员 Harry Sintonen 发现了另一个可能影响数百万台笔记本电脑的英特尔安全漏洞。Harry Sintonen 表示，英特尔的主动管理技术（AMT）存在安全漏洞，黑客可以在几秒钟之内完全控制一个易受攻击的设备。 与 Meltdown 和 Spectre 不同的是，成功利用此漏洞（尚未命名）需要物理访问设备。Harry Sintonen指出，这仍然是一个严重的缺陷，因为黑客可以在不到一分钟的时间攻破一个系统，然后通过连接到同一个网络来远程控制它。 即使存在其他安全措施（包括 BIOS 密码，BitLocker，TPM Pin 或传统防病毒软件），也可以利用该漏洞。Sintonen 表示，虽然 BIOS 密码通常会阻止恶意行为，但英特尔的 AMT 却为另一种攻击打开了大门，最终攻击者可以远程访问系统。 通过选择英特尔的管理引擎 BIOS 扩展（MEBx），他们可以使用默认密码 “admin” 登录，因为用户不太可能更改这个密码。通过更改默认密码，一个敏捷的网络犯罪分子已经有效地破坏了机器。现在攻击者可以远程访问系统， 完全访问受损系统可以让黑客有权读取和修改数据，而且可以在设备上部署恶意软件，尽管可能启用了任何安全解决方案。这种攻击看似简单，但具有难以置信的破坏潜力。实际上，即使是最广泛的安全措施，它也可以让本地攻击者完全控制个人的工作笔记本电脑， 英特尔还没有回应这个新的漏洞，但安全公司建议用户始终随身携带笔记本电脑，为 AMT 设置强力密码，甚至完全禁用此功能。 稿源：cnBeta.com，封面源自网络。  

两名安全研究人员 Alexander Bolshev 和 Ivan Yushkevich 去年从 Google Play 里随机选择了 34 款企业应用进行研究，应用的开发商包括工业控制系统供应商西门子和施耐德电气。他们从应用里发现了 147 个安全漏洞。研究人员没有披露哪家公司的情况最严重，也没有披露存在漏洞的具体应用。 研究人员表示只有两个应用没有发现漏洞。他们发现的一些漏洞允许黑客干扰应用与机器或关联进程之间的数据流。举例来说，通过干扰数据，工程师可能会误以为实际已过热的机器仍然运行在安全温度阈值内。 另一个漏洞允许攻击者在移动设备上植入恶意代码，向控制机器的服务器发出恶意指令。严重的话可能会造成流水线的混乱或导致炼油厂发生爆炸。这只是极端的假设。研究人员表示他们已经联系了相关企业，其中一些已经修复漏洞，另一些则没有回应。 稿源：cnBeta、solidot，封面源自网络。

全世界核武战争爆发可能比设想中更容易发生，英国皇家战略查塔姆研究所（Chatham House，The Royal Institute of International Affairs）近日发表了一项最新研究论文显示，现在的核武器系统的开发基于前数字时代，对于如何防范恶意黑客攻击和各种形式的计算机入侵的设计考虑非常少，也就是说核武系统如果遭到入侵，将会被别有用心的黑客授权外发射造成严重的危害。 核武系统在现代军事战略地位中如此重要，但是却使用着过时的计算机系统设计，核武五大强国均在计算机普及前设计开发了核武操控系统，这些计算机通常能占据整个楼层，而且运行内存甚至少于一块智能手表。在冷战期间，东西方采用不同的安全措施来确保其控制系统安全，美国倾向于使用电子机械机制锁来装卸核武，而英国则依靠于为最忠心可靠的军事官员装配钥匙来操控，前苏联的安全措施目前仍未公开。而在此后接近三个世代，核武系统的指令、控制和交流设施逐渐实现数码化，同时缺乏未来考量的数码设计包含了海量的漏洞。许多安全漏洞非常明显，例如导弹基地使用的固网同性和局域网通信协议，以及日渐增多的战机数据连接都非常容易遭受黑客劫持。论文中重点指出了核潜艇的安全隐患非常严重。 稿源：cnBeta.com，封面源自网络

据媒体 1 月 12 日消息，AMD 本周四表示，两种 Spectre 变体漏洞都会对公司处理器构成威胁，就在几天前，AMD 还说其中一种漏洞影响公司处理器的机率几乎为零。AMD 发表声明称，在芯片是否容易受到 Spectre 影响这件事情上，公司的立场并没有改变，尽管如此，AMD 刚一发表声明股价就下跌 4.0% 。 上周，安全专家披露一组漏洞，黑客可以利用漏洞从设备窃取敏感信息，几乎每一款安装英特尔、AMD、ARM 芯片的设备都受到影响。 不过投资者相信 AMD 芯片的风险比英特尔低一些。1月3日，漏洞消息公布之后 AMD 股价大涨近 20%，投资者认为 AMD 将会从英特尔手中夺回一些市场份额，英特尔芯片对三种变体漏洞都缺乏免疫力。AMD 没有受到 Meltdown 影响，这一点没有变。 周四公布消息之后，AMD 股价盘后下跌 4%，降至 11.65 美元；后来恢复到 11.80 美元，下跌 2.9%。 1 月 3 日，AMD 曾说公司的芯片会受到一种 Spectre 变体漏洞影响，至于第二种 Spectre 变体漏洞，影响 AMD 芯片的概率几乎为零。在周四的声明中，AMD 却说第二种 Spectre 同样对 AMD 有效，从本周开始，AMD 将会发布面向 Ryzen、EPYC 处理器的补丁，未来几周还会发布补丁修复更老的芯片。 AMD 首席技术官马克·裴波马斯特 ( Mark Papermaster ) 在周四的博文中表示：“虽然我们相信 AMD 处理器架构很安全，2 号变体漏洞难以发挥作用，我们还是与产业密切合作，应对威胁。” 稿源：cnBeta、，稿件以及封面源自网络；

外媒 1 月 10 日消息，知名钱包开发商 Electrum 近期针对其比特币钱包的 JSONRPC 接口漏洞发布了安全补丁。 据悉，该漏洞允许托管 Electrum 钱包的恶意网站通过 Web 浏览器窃取用户的加密货币，研究人员猜测这可能与 JSONRPC 接口中的密码暴露有关。此外，攻击者还可以利用该漏洞获得私人数据，例如比特币地址、交易标签、地址标签、钱包联系人等信息。目前该漏洞影响了几乎所有平台上的 Electrum 2.6 – 3.0.4 版本。 研究人员介绍了该漏洞的具体细节：当 Electrum 后台程序运行时，在 web 服务器上不同虚拟主机的攻击者可以通过本地的 RPC 端口轻易地访问 electrum 钱包。此外，该漏洞还允许攻击者在运行 Electrum 时修改用户设置。 相关媒体报道称该漏洞早在两年前就已经存在，Electrum 之前也发布过针对该漏洞的安全补丁，不过当时并未起到作用。研究人员建议用户应升级其 Electrum 软件，并停止使用旧版本。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。