外媒 1 月 9 日消息，Wi-Fi 联盟于近期计划发布 WPA2 的增强功能，其中涉及身份验证、加密和配置等问题。此外，该联盟也在本周一宣布推出一个名为 WPA3 的新安全协议（ 作为 WPA2 的后续产品 ）。据悉，Wi-Fi 联盟认为 WPA3 协议的推出将使 Wi-Fi 安全性得到显著改善。 Wi-Fi 联盟计划在今年上半年推出 WPA2 的三项增强功能，用于其产品组合的配置、身份验证和加密增强等方面。以往的 WPA2 协议易受 KRACK 和 DEAUTH 攻击，所以 Wi-Fi 联盟希望能够通过改进关键技术来解决这些问题。 另外，计划推出的 WPA3 新安全协议将以 WPA2 的核心组件为基础，进一步保护确保Wi-Fi网络的安全。 WPA3 将具有以下功能： 第一个功能是在多次失败的登录尝试之后，通过屏蔽 WiFi 身份验证过程来防止暴力攻击。 第二种是将附近支持 wifi 的设备作为其他设备的配置面板。 第三和第四项功能与 WiFi WPA3 中包含的加密功能有关，第三个是 “ 个性化数据加密 ” ，这是一项加密设备与路由器或接入点之间连接的功能。第四种是改进的加密标准，WiFi 联盟将其描述为 “一个 192 位安全套件，与国家安全系统委员会的商业国家安全算法（ CNSA ）套装一致，该套件将进一步保护政府、国防和工业等更高安全要求的 Wi-Fi 网络。” 除了这些通用的描述外，更多的细节预计将在 2018 年晚些时候公布。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。  

在 Google 旗下的 Project Zero 安全团队发现 Spectre 和 Meltdown 安全漏洞后，积极和科技圈内的其他厂商取得联系，迅速推进漏洞的全面修复。今天更新的 Chromium Wiki 页面上，Google 详细罗列了所有 Chrome OS 设备，以及它们是否已经修复了 Meltdown 漏洞。 页面上罗列了超过 140 款设备，表明了这些设备的内部代号、内核版本、架构，以及设备停止接收官方自动更新的截止日期。在页面上部分设备已经标记为停止支持，意味着 Google 不再为这些设备继续提供更新。 在 “ CVE-2017-5754 mitigations (KPTI) on M63 ？” 列上，标记了这款 Chromebook 是否会受到 Meltdown 漏洞影响，如果标记为 “ Yes ” 或者 “ not needed ”，那么自然也不需要担忧。 针对 Spectre 漏洞，Google 提供的保护则稍显复杂。Chrome OS 提供了称为 site isolation 功能，可以高效地降低该漏洞造成的伤害。如果想要激活这项功能，用户可以在 Chrome 地址栏上输入“ #enable-site-per-process ”，回车之后将这项功能标记为“ Enabled ”。 以上为列表部分截图 完整清单列表可访问：https://www.chromium.org/a/chromium.org/dev/chrome-os-devices-and-kernel-versions 稿源：cnBeta，封面源自网络；

英伟达 (Nvidia ) 今日也针对 “ 幽灵 ”( Spectre ) 漏洞发布了补丁程序，意味着该芯片组漏洞不仅影响 CPU，同时也影响 GPU (图形处理器)。安全研究人员上周发现了两个芯片组漏洞，分别为 “ 熔断 ” ( Meltdown )和 “ 幽灵 ” ( Spectre )，允许黑客在计算机、手机和云服务器等多种设备上盗取密码或密钥。 英特尔已经表示，其处理器产品同时受 “ 熔断 ” 和 “ 幽灵 ” 两个漏洞的影响，而 AMD、ARM 和英伟达的产品仅受 “ 幽灵 ” 漏洞的影响。 英伟达今日称，其 GeForce、Tesla、Grid、NVS 和 Quadro 系列产品受 “ 幽灵 ” 漏洞的影响。 本周一，苹果公司已经针对 “幽灵” 漏洞发布了多个补丁包，分别囊括了 iOS、macOS 操作系统，以及 Safari 网络浏览器。苹果还表示，到目前为止其用户尚未受到这两个漏洞的影响，尚未有黑客利用漏洞发起攻击。 周二，微软也发布了相应的补丁程序。微软同时指出，补丁程序能降低部分 PC 和服务器的运行速度，配备英特尔旧款芯片的系统性能会有明显下降。 而英特尔表示，已为过去 5 年制造的绝大多数处理器发布了补丁，且更多的更新将会陆续发布。英特尔还强调，尚未发现有黑客利用这些漏洞获取用户数据。 稿源：cnBeta、，稿件以及封面源自网络；

近来有关 Intel CPU Spectre/Meltdown 漏洞一事闹得沸沸扬扬、人心惶惶，AMD、ARM 也被波及。事发之后，Intel 一直在积极采取相关措施，并随时公布进展。今天，Intel 又发布了一份最新公告，看完之后大家基本可以放心了。 Intel 首先明确表示，迄今为止尚未发现相关漏洞被利用，也没有任何用户隐私数据泄露。  Intel 从去年 12 月初开始漏洞未公开之时，就已经开始与行业、OEM 伙伴合作，为过去五年中受影响的 CPU 处理器提供软件和固件更新，预计会在一周内覆盖超过 90％ 的产品，本月底完成剩余所有产品的升级。 关于修复漏洞后性能下滑的问题，Intel 称根据最新内部测试，对于典型用户的影响不会很明显，也就是说，日常家庭、商业用户在更新补丁后，上网、收发邮件、录入文档、浏览照片、看视频等普通操作不会变慢。 SYSMark 2014 SE 测试表明，八代酷睿处理器搭配 SSD 固态硬盘，性能会损失不超过 6％。 至于对数据中心的影响，Intel 还在进行评估，尚未得出完整结论，不过苹果、微软、谷歌、亚马逊、红帽等行业巨头已经纷纷声援 Intel，称更新补丁后性能下降微乎其微，或者没有下降。 Intel 指出，性能变化取决于特定工作负载、平台配置、测试方法，不能一概而论。 稿源：cnBeta、快科技，封面源自网络；

普通的 Windows 电脑在打上微软修补 Meltdown 和 Spectre 漏洞的补丁后，到底性能会下降吗？民间测试结论各异，其中还不乏耸人听闻的 “ 标题党 ” ，对此，微软终于官方发声。微软 Windows 和设备执行副总裁 TERRY MYERSON 今天在微软官方博客撰文，希望外界可以更好地理解修复和性能之间的关系。 关于漏洞的说明，微软的整理是目前最为详细的—— 其中第一种形式（Variant 1，简称 V1 ）“ Bounds Check Bypass（绕过边界检查/边界检查旁路）” 和第二种形式 “ Branch Target Injection（分支目标注入）” 属于 Spectre（幽灵），而第三种 “ Rogue Data Cache Load（恶意的数据缓存载入）” 则属于 Meldown（熔断）。 其中，V1 和 V3 均不需要处理器微代码更新（即 BIOS 更新），V2 则需要。 对于 V1，Windows 的解决方式是二级制编译器更新和从 JS 端加固浏览器，对于 V2，微软需要 CPU 指令集更新，对于 V3，需要分离内核和用户层代码的页表。 性能影响 Myerson 称，微软发现，修复 V1/V3 对性能的影响微乎其微，问题的关键在于 V2 对底层指令集做了修改，导致成为性能损失的主因，以下是微软的测试结论—— 1、搭载 Skylake/Kaby Lake 或者更新的处理器平台的 Windows 10 系统，降幅在个位数，意味着，绝大多数用户都感受不到变化，因为即便慢，也是在微妙之内。 2、搭载 Haswell 或者更早的处理器的 Windows 10 平台，影响已经有些显著了，可能部分用户已经可以觉察出来。 3、搭载 Haswell 或者更早的处理器的 Windows 7/8.1 平台，大部分用户会明显感受到性能削弱。 4、任何处理器的 Windows Server 平台，尤其是密集 I/O 环境下，在执行代码分离操作时性能降幅会异常明显。 微软称，Windows 7/8 在架构时由于使用了过多的用户到内核过渡，导致影响更明显。 微软最后表示，会继续和合作伙伴一道致力于更优质的安全方案开发。 结合 AMD 的声明，他们的 CPU 架构对 Meldown 也就是 V3 是完全免疫，但 Spectre 的第一种形式则需要配合操作系统更新实现。 稿源：cnBeta、快科技，封面源自网络；

据外媒 1 月 8 日报道， 微软为 Meltdown 、 Spectre 发布的安全更新 Windows KB4056892 对一些 AMD 设备的系统(尤其老款 AMD Athlon 64）产生了负面影响。相关用户向微软上反馈了该影响的具体细节，不过目前尚无确切调查情况以及官方回应。 近期被披露的 Meltdown ( 熔断 ) 和 Spectre（幽灵 ）漏洞给用户和芯片供应商带来很多问题，值得注意的是，AMD 的 cpu 不容易受到 Meltdown 漏洞的影响，但可能会受到 Spectre 的攻击。目前像苹果、思科和微软这些科技巨头承认了其产品问题，并相继推出安全补丁。 然而相关安全专家认为这些修复补丁可能将会对设备的性能产生重大影响。不过这些说法遭到英特尔方面的否认，英特尔证实经过苹果、亚马逊、谷歌和微软的广泛测试，评估了安全更新不会对系统性能产生负面影响。 个别用户声称 Windows 的安全更新 KB4056892 压制使用 AMD （尤其是 Athlon）驱动的电脑，致使系统无法启动，只显示没有动画的 Windows 图标。经过几次失败的启动后执行回滚，还是显示错误 0x800f0845。补丁安装完成后，Athlon 驱动的系统停止工作，但重点是修复程序并没有创建恢复点，以至于甚至在某些情况下都不能恢复回滚。 还有有些用户报告说，即使重新安装 Windows 10 也不能解决问题。 针对这一情况，受影响的用户将需要禁用 Windows Update，但 AMD 用户的尴尬局面最终还是只有微软才能解决。不过微软尚未对该页面上的用户反馈作出任何回应。 后续更新 昨日在微软论坛大量 AMD 用户报告无法进入系统之后，微软正式确认补丁存在兼容性问题，已紧急撤回。 微软官方在支持页面称，他们拿到的用于堵漏 Meltdown 和 Spectre 的 AMD 芯片组技术文件和实际情况不符。目前，微软已经停止了 9 个补丁向 AMD 平台的分发工作（主要是 Win10 的 KB4056892 和 Win7 的 KB4056894 ），正和 AMD 一道联手解决。（cnBeta 消息） 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

CentOS 团队近日面向 64 位（x86_64）CentOS 7 在内的多个版本发布内核安全补丁，重点修复了日前爆发的 Meltdown（熔断）和 Spectre（幽灵）两个漏洞。CentOS 7 基于 Red Hat Enterprise Linux 7，本次发布的安全更新是在 Red Hat 近期发布的修复补丁上进行定制优化的。 目前存在问题的软件包括： kernel-3.10.0-693.11.6.el7.x86_64.rpm、kernel-abi-whitelists-3.10.0-693.11.6.el7.noarch.rpm、 kernel-debug-3.10.0-693.11.6.el7.x86_64.rpm、kernel-debug-devel-3.10.0-693.11.6.el7.x86_64.rpm、 kernel-devel-3.10.0-693.11.6.el7.x86_64.rp 以及 kernel-doc-3.10.0-693.11.6.el7.noarch.rpm。 此外 kernel-headers-3.10.0-693.11.6.el7.x86_64.rpm、 kernel-tools-3.10.0-693.11.6.el7.x86_64.rpm、kernel-tools-libs-3.10.0-693.11.6.el7.x86_64.rpm、 kernel-tools-libs-devel-3.10.0-693.11.6.el7.x86_64.rpm、 perf-3.10.0-693.11.6.el7.x86_64.rpm 和 python-perf-3.10.0-693.11.6.el7.x86_64.rpm 也需要更新。 CentOS 维护人员 Karanbir Singh 推荐所有 CentOS 7 用户尽快安装补丁包，仅尽可能的告知身边同样存在两款 CPU 漏洞的用户打上补丁。 稿源：cnBeta，封面源自网络；

据外媒 1 月 6 日报道，谷歌专家 Cfir Cohen 发现 AMD 处理器的平台安全处理器（PSP）中的 fTMP 模块存在一个堆栈溢出漏洞，影响 AMD 64 位 x86 的处理器。研究人员透露虽然该漏洞目前尚未得到解决，但是其利用条件也是非常严苛的。 AMD PSP 是内置于主 CPU 芯片上的专用安全处理器，提供类似于英特尔管理引擎的管理功能；Trusted Platform Module（可信平台模块）是安全加密处理器的国际标准，也是专用微控制器，通过将加密密钥集成到设备中来保护硬件；而 fTMP 则是 Trusted Platform Module 的固件实现。 漏洞通过 EK 证书加以利用 安全专家 Cohen 手动静态分析发现函数 EkCheckCurrentCert 中有一个基于堆栈的溢出，该函数通过 TPM2_CreatePrimary 调用用户控制数据（存储在 NV 存储器中的 DE 编码的认证密钥（EK）证书）。Cohen 解释说，TLV（类型长度值）结构被解析并复制到父堆栈帧，但在管理 TLV 结构时特制的 EK 证书缺少边界检查导致了堆栈溢出。因此攻击者可以使用特制的 EK 证书来获得 AMD 安全处理器的远程代码执行权。 漏洞利用条件较为苛刻 Cohen 称利用该漏洞的先决条件是需要进行物理访问，而有关专家专家指出， PSP 并没有实现堆栈 cookies、No-eXecute（NX）标志或地址空间布局随机化（ASLR）等常见的缓解技术。 与此同时， security biz Capsule8 的联合创始人和首席技术官 Dino Dai Zovi 也表示漏洞应该不太受远程执行。 因为使用了该漏洞的证书需要被写入到 NVRAM 中，所以攻击者必须具有主机的特权访问或物理访问权限。 随后 AMD 的发言人向媒体证实该漏洞确实难以被利用：攻击者首先必须访问主板，然后修改 SPI-Flash 才能进行漏洞利用。考虑到这些条件，攻击者可能将会访问受 TPM 保护的信息，比如加密密钥。 目前 AMD 计划在有限数量的固件版本上解决该漏洞，安全更新将在本月晚些时候发布。 相关阅读： AMD 芯片被披露存在安全漏洞 消息来源：The Register、Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

 Intel 目前面临着因 CPU 底层漏洞事件的多起诉讼。据 Gizmodo 报告说，美国加利福尼亚州，俄勒冈州和印第安纳州三个州的的法院已经接到了对 Intel 的起诉。这三个都是大规模的集体诉讼，理由包括英特尔延迟披露这些 CPU 底层漏洞/消费者受影响几个月后才知道这些漏洞，以及随后的安全补丁导致的电脑性能下降问题。该诉讼的报告指出，由于 Intel 的补丁导致性能下滑的 PC 可能高达五到三成。 但关于这点英特尔已经表示，他们的漏洞解决方案的影响是“高强度负载”，并不会影响到普通用户的使用。 目前来看，这个底层漏洞周三才正式公布，所以英特尔可能会面临更多的起诉。就像之前苹果公布故意拖慢老款 iPhone 机型的消息之后，在多个国家遭遇了一系列的诉讼一样。 英特尔表示，截止到本周末，受影响芯片的 90％ 应该都会被修补，而像微软，谷歌和苹果这样的公司也会即时发布更新，以减轻 Spectre 和 Meltdown 漏洞的影响。 Intel CPU 漏洞问题衍生出来的安全事件已经波及全球，几乎所有的手机、电脑、云计算产品，Windows、Linux、macOS、亚马逊 AWS、谷歌安卓均中招，这两个漏洞都是越级访问系统级内存，所以可能会造成受保护的密码、敏感信息泄露。 但目前，尚未有任何一起真实世界攻击，所有的推演都来自于本地代码模拟。 相关阅读： 英特尔市值两日蒸发逾 110 亿美元 AMD 成大赢家 Linux 之父批英特尔避重就轻 没承认问题 Intel 被曝发布 8 代酷睿 CPU 前就知晓漏洞 稿源：cnBeta、快科技，封面源自网络；

据媒体报道，计算机芯片被曝存在安全漏洞，乍看之下似乎给英特尔带来了一场突如其来的危机，但在这背后它和其它的科技公司以及专家其实对付该问题已经有数个月。今天，苹果成为了最新一家承认受到芯片漏洞影响的科技巨头。该公司表示，所有的 iPhone、iPad 和 Mac 电脑都受到影响，公司已经发布更新来修复漏洞。 英特尔、它的主要竞争对手 AMD 以及芯片设计厂商 ARM 本周均称，它们的部分处理器存在可能会被黑客利用的安全漏洞，这一问题影响电脑、智能手机和其它设备所使用的各种芯片，但到目前为止与任何的黑客攻击事件都无关联。 在芯片漏洞本周被曝光以前，芯片厂商们以及它们的客户和合作伙伴，包括苹果、Alphabet 旗下的谷歌、亚马逊和微软，就已经在加紧解决问题。一个由大型科技公司组成的联盟在联手保护它们的服务器，并向用户的计算机和智能手机提供补丁。 所涉的漏洞可能会让黑客能够窃取诸如密码的敏感信息，影响范围包括来自各家公司的多数现代芯片。但主导服务器和 PC 芯片市场的英特尔受到了最为直接的影响，它的股价连续两天出现下跌。 去年 6 月 1 日，谷歌 Project Zero 安全团队的一位成员告知英特尔和其它的芯片厂商漏洞的问题。即便早早就知道，英特尔等公司也仍在努力解决安全漏洞。一个问题在于，将安全更新推送到数十亿部设备。另一个问题在于，部分安全补丁可能会减慢设备的运行，因为那些漏洞影响到意在提高处理器运行速度的芯片功能。 截至周四，各家企业都表示没有发现利用芯片漏洞的黑客攻击证据。要是黑客真那么做，那他们很可能会去攻击英特尔制造的芯片。那是因为该公司是全球第一大微处理器厂商，其芯片内在的漏洞至少可以追溯到 10 年前。 该问题引发了人们对英特尔产品安全性的怀疑，众多客户需要采取行动保护自身的系统。它也凸显了一点：芯片和运行于芯片的软件日益复杂化，让它们变得难以锁定，同时也使得它们会隐藏数年未被发现的漏洞。 “人们在重新评估现代硬件安全属性的核心原则。我们的很多假定都被违反了，需要重新进行评估。”安全研究者科恩·怀特（Kenn White）指出。 不过，在科技战略研究公司 Tirias Research 的吉姆·麦克格雷格（Jim McGregor）看来，英特尔受到的影响可能会很有限。“ 当你掌控很大一部分市场，你广泛地覆盖客户的时候，你能够逃脱惩罚。” 他说道。 英特尔说，预计到下周末，它就能向过去 5 年推出的 90% 以上处理器提供软件更新。 其它的公司已经发布补丁。苹果称，除了它的移动设备和电脑以外，Apple TV 电视机顶盒也受到影响，Apple Watch 智能手表倒没受影响。它还说，为苹果 Safari 网络浏览器解决 Spectre 漏洞的补丁预计将在未来几天发布。 苹果指出，它的补丁不会造成设备运行变慢。谷歌周四也表示，它所开发的补丁“对设备性能的影响可以忽略。”英特尔称，对于普通用户来说，任何性能减退都会很有限，且会随着时间的推移而慢慢消失。它还说，公司计划在一年内重新设计芯片，预计此次安全问题不会带来任何的财务影响。 周四，英特尔股价下跌到 44.43 美元，较周二的收盘价（漏洞问题曝光以前）累计下跌 5.2% 。包括 AMD 和英伟达在内的其它芯片厂商股价则出现上扬。 问题存在已久 研究人员接触那些漏洞已经有一年多的时间。2016 年 8 月，在拉斯维加斯的 Black Hat 网络安全大会上，两位研究者安德斯·福格（Anders Fogh）和丹尼尔·格拉斯（Daniel Gruss）演示了漏洞的早期迹象。福格在去年7月还就此发表博文，鼓励其他的研究者去展开调查。 与此同时，谷歌内部的安全研究团队 Project Zero 的雅恩·霍恩（Jann Horn）早已揭开该问题，并通知了英特尔。最终，来自全球各地的三个其它的研究团队就同样的问题联系英特尔，英特尔接着与他们一道交流和撰写论文。其中一位研究者丹尼尔·格恩金（Daniel Genkin）指出，他们发现芯片的漏洞可追溯到 2010 年，并认为那些问题甚至可追溯到更久以前。“ 带来这种漏洞的通用架构原则有几十年历史了，” 他说，“ 我没有去启动一台来自 1995 年的电脑探个究竟，但那些原则那时候就存在。”福格说道，研究人员之所以同时发现同样的长期漏洞，是因为此前的研究打下了基础，其中包括他在 2016 年的演示。那为什么英特尔没有更早发现漏洞呢？“好问题，我还真回答不了。”他说。 英特尔数据中心工程副总裁史蒂芬·史密斯（Stephen Smith）指出，公司一直以来都在设法提升它的产品安全性。 监管文件显示，在英特尔与合作伙伴们一起努力解决问题期间，英特尔 CEO 布莱恩·科兹安尼克（Brian Krzanich）在去年 11 月出售他的公司股票和期权套现 2400 万美元，保留了 25 万股股票，从该公司最近的代理委托书来看，那是公司对他的最低持股量要求。 英特尔发言人表示，那次售股与此次安全问题无关，是依照预先安排的、带有自动出售时间表的计划。英特尔和由科技公司和研究者组成的大联盟计划在 1 月 9 日对外披露漏洞问题。但本周，科技新闻网站 The Register 在跟踪研究该漏洞的补丁的程序员的在线讨论后率先进行了曝光。 英特尔、AMD 和 ARM 事先通知了部分大客户，但 The Register 的报道让小公司措手不及。云计算提供商 DigitalOcean 的首席安全官约什·芬布鲁姆（Josh Feinblum）上周末从同行那里获悉漏洞问题。他说，他一直在尽可能快速地修复他的系统，对于目前的成果感到满意。 “ Linux 之父”林纳斯·托瓦兹（Linus Torvalds）批评英特尔没有承认问题，最初说芯片按照预想运行。“ 我认为，英特尔内部的某个人需要认真审视他们的 CPU 问题，承认它们存在问题，而不是撰写公关文章大肆宣称一切都如计划发展。” 他在周三致 Linux 程序员的电子邮件中写道。 怀特表示，虽然英特尔在事件的披露方面做得乱七八糟，但考虑到事情的性质和影响范围，该公司 “ 或许还算处理得不错。” 他说道，研究人员称部分补丁的开发“涉及一些新的计算机科学领域。” “ 该项工作非常复杂，复杂到令人惊异。” 该事件让人们担心，基于那些新发现的漏洞展开的攻击，可能已经发生了好几年，却未被发现。部分技术人员认为，这种情况可能性不大，因为那需要有复杂的黑客技术。例如，谷歌方面称它没能找到办法去利用 Android 手机中的漏洞，但考虑到有人或许能够利用的风险，它还是为那些设备提供安全补丁。其他人表示，如果白帽黑客——发现及修补安全漏洞的合法黑客——能够发现漏洞，那么为非作歹的黑帽黑客也能够发现。 怀特指出，随着漏洞问题如今被曝光，用户也要保护好自己。“ 这些是非常复杂的攻击，需要各种背景知识和理解。” 他说，“ 但它一旦出现，就会转变成代码攻击。” 稿源：cnBeta、网易科技，封面源自网络；