上周 Intel 曝出影响 2011 年以来几乎所有芯片的漏洞 ZombieLoad，利用该漏洞，攻击者可以对芯片发起边信道攻击，在同一 CPU 上执行恶意进程，进而获取 CPU 的微架构缓冲器中的存储器内容。 攻击者可以访问存储缓冲区，加载端口并填充缓冲区的陈旧内容，这些缓冲区可能包含属于另一个进程的数据或源自不同安全上下文的数据。因此，在用户空间进程之间、内核与用户空间之间、虚拟机之间或虚拟机与主机环境之间可能都会发生意外的内存泄露。 ZombieLoad 与其它推测性执行边信道攻击不同，因为攻击者无法定位特定数据。攻击者可以定期对缓冲区中的内容进行采样，但是在采集样本时无法控制缓冲区中存在的数据。因此，需要额外的工作来将数据收集并重建为有意义的数据集。这也是 ZombieLoad 比较复杂的地方。 虽然 ZombieLoad 得到有价值数据的成本比较高，但是各大公司都十分重视这个漏洞，毕竟它影响了 2011 年以来几乎所有芯片，打击范围十分广泛。 Intel 自己已经发布了微代码，从架构上缓解该问题，其它科技公司如苹果、微软与谷歌也都相继发布了补丁。 但同时也有一些公司认为光有补丁并没有什么作用，比如 Red Hat 认为在云场景上 ZombieLoad 危险很大，因为你完全无法控制相邻虚拟机中的用户正在运行的内容，云安全公司 Twistlock 的首席技术官 John Morello 也指出：“这个漏洞可能对密集的、多租户的公有云提供商产生最大的影响。” 另一边，Ubuntu 目前也已经给出了补丁，但是其在安全公告中表示，如果用户系统中有不受信任或潜在的恶意代码，则建议其禁用超线程功能。 如果您的处理器不支持超线程（也称为对称多线程（SMT）），则内核和相应的 Intel 微代码软件包更新将完全解决 MDS（ZombieLoad）漏洞。如果您的处理器支持超线程并且启用了超线程，则 MDS 不会完全缓解。 所以，如果想要完全缓解漏洞，你需要暂时放弃 CPU 的超线程能力。事实上，苹果和谷歌都已经警告 macOS 和 Chrome OS 用户禁用超线程可获得全面保护，并且谷歌现在默认从 Chrome OS 74 开始禁用超线程。 但是禁用超线程的性能代价实在有点高，结合对比一下 ZombieLoad 微代码与补丁对系统性能影响的数据： Intel 发言人表示，大部分打过补丁的设备在最坏的情况下可能会受到 3% 的性能影响，而在数据中心环境中可能会是 9%。 另一边，PostgreSQL 基准测试发现，禁用超线程后，性能下降了近 40％；Ngnix 基准测试的性能下降了约 34％；Zombieload 的研究人员表示禁用超线程会使某些工作负载的性能下降 30％ 至 40％。 安全还是性能，如何选择呢？   （稿源：开源中国，封面源自网络。）

如果您不习惯使用最新版本的Linux内核，那么现在可能是考虑升级的好时机。基于早于5.0.8的内核版本的系统在通过TCP实现RDS时已经发现一个缺陷。如果没有打补丁，该漏洞可能会使攻击者破坏系统。 Red Hat，Ubuntu，Debian和SUSE都受到了这个漏洞的影响，并且这些发行方均已为其Linux发行版发布了安全建议。值得注意的是，“攻击复杂性”被评为“高”，因此虽然安全漏洞的影响可能很严重，但成功实施攻击的难度较大。 在对该漏洞的分析中，红帽表示：在Linux内核的TCP上RDS实现中发现了一个漏洞。加载了rds_tcp内核模块的系统（通过运行listen（）的本地进程通过自动加载或手动加载）可能会导致在释放后使用（UAF），其中攻击者能够操纵网络命名空间的处理套接字状态，从而可能导致内存错误和权限提升。 在对该漏洞的分析中，红帽表示：在Linux内核的TCP上RDS实现中发现了一个漏洞。加载了rds_tcp内核模块的系统（通过运行listen（）的本地进程通过自动加载或手动加载）可能会导致在释放后使用（UAF），其中攻击者能够操纵网络命名空间的处理套接字状态，从而可能导致内存错误和权限提升。 无论如何，该问题已在Linux内核的5.0.8版本中进行了修补，因此如果您还没有这样做，请更新它就可以一次性解决问题。   （稿源：cnBeta，封面源自网络。）

2011年之前的几款Mac仍然可能容易遭受类似“ZombieLoad”的安全攻击，而苹果无法解决这个问题，因为英特尔不会发布必要的微代码更新。虽然“ZombieLand”漏洞本身不会影响这些机器，但由于特定的攻击媒介，如果没有英特尔的帮助，苹果无法完全修补其他此类的“推测执行漏洞”。 “ZombieLand”漏洞影响了自2011年以来所有英特尔处理器，苹果最新支持文档仅列出了早期易受类似问题影响的Mac型号。它们依然获得苹果技术支持，或者或者能够运行最新的Mac Mojave操作系统。苹果公司在其新的支持文档中表示：“这些型号可能在MacOS Mojave、High Sierra或Sierra中接收到安全更新，但由于缺少英特尔的微代码更新，因此无法提供修复和缓解安全漏洞的措施。” 这些Mac型号如下： MacBook（13英寸，2009年末上市） MacBook（13英寸，2010年年中） MacBook Air（13英寸，2010年末上市） MacBook Air（11英寸，2010年末上市） MacBook Pro（17英寸，2010年年中） MacBook Pro（15英寸，2010年年中） MacBook Pro（13英寸，2010年年中） iMac（21.5英寸，2009年末上市） iMac（27英寸，2009年末上市） iMac（21.5英寸，2010年年中） iMac（27英寸，2010年年中） Mac Mini（2010年年中） Mac Pro（2010年末上市） 即使是受到“僵尸”安全漏洞攻击的新Mac，这些问题也不太可能对许多用户产生实质性影响。有一种苹果称之为“完全缓解”的方法，它可以消除“僵尸”和类似的攻击影响，但它需要禁用一些功能，这会将系统性能降低40%。因此，更好的预防措施还是从Mac应用商店或您信任的其他开发人员网站下载软件。   （稿源：cnBeta，封面源自网络。）

美国 Red Ballon 安全研究公司近日发布了一份报告，公布了思科产品的两个漏洞。 第一个漏洞被称为（Thrangrycat），允许攻击者通过现场可编程门阵列（FPGA）比特流操作完全绕过思科的信任锚模块（TAm）。 第二个是针对 Cisco IOS XE 版本 16 的远程命令注入漏洞，该漏洞允许以 root 身份执行远程代码，通过链接和远程命令注入漏洞，攻击者可以远程持续绕过思科的安全启动机制，并锁定 TAm 的所有未来软件更新。 报告称， 是由 Cisco Trust Anchor 模块中的一系列硬件设计缺陷引起的，Cisco Trust Anchor 模块（TAm，信任锚）于2013年首次商业化推出，是一种专有的硬件安全模块，用于各种思科产品，包括企业路由器，交换机和防火墙。 TAm 是专门用来验证安全开机程序的硬件装置，在系统开启时执行一连串的指令，以立即验证开机载入程序的完整性，一但侦测到任何不妥，就会通知使用者并重新开机，以防止设备执行被窜改的开机载入程序。 而 可藉由操纵 FPGA（Field Programmable Gate Array，现场可编程门阵列）的比特流（bitstream）来绕过 TAm 的保护。这是因为 TAm 原本就得依赖外部的 FPGA，在设备开机后，FPGA 会载入未加密的比特流来提供 TAm 的信任功能。 Red Balloon Security 已在去年11月知会思科，思科也在同一天发表了安全通报。 根据思科所列出的产品列表，总计超过 130 款产品受到波及。 迄今为止，除了研究人员针对思科 ASR 1001-X 设备所进行的攻击示范之外，尚未发现其它攻击行动。Red Balloon Security 也准备在8月的黑帽（Black Hat）安全会议上对此进行展示。 目前，思科正在持续发布针对该漏洞的软件更新。 题外话：研究人员表示，以取代 Thrangrycat，是为了彰显该研究并无任何语言或文化上的偏见，表情符号已是数位时代的象征，它跟数学一样都是透过语际符号来表达，而猫咪的矛盾特性恰好可用来形容该漏洞。   （稿源：开源中国，封面源自网络。）

安全研究人员今日公布了一系列影响英特尔微处理器的潜在安全漏洞，其可能导致用户机器上的信息被泄露。由英特尔安全公告可知，新漏洞使得恶意进程能够从同一 CPU 核心上运行的另一个进程那里读取数据（涉及在 CPU 内核中使用的缓冲区）。因为数据不会在进程切换时被清除，恶意进程可以推测性地从所述缓冲区中采样数据、知晓其中的内容、从同一 CPU 内核上执行的另一个进程中读取数据。 （图自：Intel，via Softpedia） 据悉，当在内核和用户空间、主机和客户机、或两个不同的用户空间进程之间进行切换时，就有可能发生这种情况。这几个漏洞分别为： ● CVE-2018-12126：存储缓冲区数据采样（MSBDS） ● CVE-2018-12127：加载端口数据采样（MLPDS） ● CVE-2018-12130：填充缓冲区数据采样（MFBDS） ● CVE-2019-11091：对不可缓存内存的数据采样（MDSUM） 受影响产品列表（PDF） 为了修复上述影响英特尔旗下各款处理器的问题，该公司已于今日发布了专门的微代码更新。但想要顺利缓解这些潜在的威胁，仍需各个制造商进行固件的分发。 对此，我们建议所有已知的计算机操作系统（含 Windows、Linux、Mac、BSD 等）用户，均在第一时间部署安装新的固件更新。 在某些 Linux 发行版上（Canonical、Red Hat 等），用户不仅需要更新英特尔的微代码固件，还需要安装相应的 Linux 内核与 QEMU 软件包，才能充分缓解新曝光的安全漏洞的影响。 还有一些计划外的产品 英特尔表示，其已与各大操作系统厂商和设备制造商们采取了密切的合作，为保护用户受潜在的攻击而提供切实可行的解决方案。 （稿源：cnBeta，封面源自网络。）

德国网络安全机构BSI就卡巴斯基杀毒软件的安全漏洞发出警告，建议用户尽快安装最新补丁。虽然该建议不包括基于该缺陷可能网络攻击的任何详细信息，但BSI警告说，黑客只需向其目标发送包含特制文件的恶意电子邮件，在某些情况下，甚至不需要打开该文件。 BSI警告的安全漏洞编号为CVE-2019-8285中，事实上是卡巴斯基上个月修复的。这个问题允许在易受攻击的电脑上远程执行任意代码，卡巴斯基说，只有4月4日之前发布的带有防病毒数据库的系统才会受到影响。 目前漏洞补丁已经通过卡巴斯基产品的内置更新系统发布，因此如果启用自动更新，用户设备应该是安全的。卡巴斯基在5月8日发布的一份咨询报告当中表示：“Kaspersky实验室在其产品中修复了一个安全问题CVE-2019-8285，可能允许第三方以系统权限远程执行用户PC上的任意代码。安全修复程序于2019年4月4日通过产品更新部署到卡巴斯基实验室客户端。” 卡巴斯基表示，从技术上讲，所有带有防病毒数据库的卡巴斯基产品都会受到该漏洞的影响。该漏洞与操作系统版本无关，因此所有Windows版本都会受到影响。此问题被归类为基于堆的缓冲区溢出漏洞。 JS文件扫描期间的内存损坏可能导致在用户电脑上执行任意代码。   （稿源：cnBeta，封面源自网络。）

据外媒报道，当地时间周一下午，Twitter披露了一个漏洞，即在某些情况下，一个账户的位置数据会被共享给Twitter的合作伙伴–即使用户没有选择共享这些数据。这家公司表示，该漏洞只影响了Twitter iOS用户群的一部分，另外他们都已经得到了存在这一问题的通知。 据了解，受影响用户在iOS上拥有多个Twitter账号，并且选择在一个账号中使用可选功能分享自己的精确位置。Twitter表示，它可能意外地对其他账号或同一移动设备上的其他账号也进行了位置数据收集，即使这些账户没有选择共享位置数据。 然后，这些信息在实时竞标过程中被共享给未具名的Twitter合作伙伴，这意味着他们得到了未经授权的位置数据。Twitter指出，这些都不是精确的位置数据，因为这些数据已经被模糊化。这意味着这些数据不能用来确定某一个特定的地址，也不能用来绘制出用户的精确活动地图。 对于那些担心自己的位置被泄露的用户，Twitter向受到影响用户保证，接收位置数据的合作伙伴没有得到他们的唯一的帐户标识符。另外Twitter表示，合作伙伴没有保留这些位置数据。 目前还不清楚这一位置分享是何时发生的，也不清楚持续了多长时间，此外，Twitter也没有指明拥有这些数据的合作伙伴的名字，也没有解释这样一个漏洞是如何产生的，而只是表示，未能删除这些位置数据。   （稿源：cnBeta，封面源自网络。）

北京时间5月14日早间消息，《金融时报》本周在一篇报道中详细介绍了WhatsApp的一个漏洞。该漏洞让攻击者可以将以色列间谍软件注入手机。这些恶意代码由以色列公司NSO Group开发，可以通过iOS和Android版WhatsApp呼叫其他用户来传播。 报道称，即使用户没有应答WhatsApp呼叫，恶意代码也可以传播。在许多情况下，这样的呼叫会从日志中清除。因此，许多用户在不知情的情况下就成为受害者。 目前有关该漏洞的细节尚不清楚。报道称，这个漏洞被发现已经有几周之久。 WhatsApp在公告中表示：“这次攻击具备一家私营公司的所有特征。该公司与政府合作，提供间谍软件，有报道称这些软件可以接管移动操作系统的许多功能。我们已向多家人权组织提供简报，分享我们可以提供的信息，并与他们合作告知民间社会。” 报道称，WhatsApp还处于调查起步阶段，目前无法估计有多少手机被攻击。WhatsApp在全球范围内有超过15亿用户。 WhatsApp已于上周向美国司法部报告了这个问题，并于周五开始在服务器端部署修复方案。为开发用户端的补丁，WhatsApp工程师一直加班到上周日。 NSO Group开发类似Pegasus的工具并推销给全球各国政府部门，作为打击恐怖主义和犯罪的一种手段。该公司在声明中表示，“不会也不能利用自己的技术瞄准任何个人或组织”。(张帆)   （稿源：，稿件以及封面源自网络。）

一个有缺陷的Windows更新或许会令人烦恼，但还不足以引起人们的恐慌，但是如果是数百名被警方监控的嫌犯或者有前科的罪犯突然失控呢？本周四佩戴在嫌犯腿部的踝关节监视器在更新中出现问题，导致设备和警察之间的通信被中断。 图片来自于  Dutch government 荷兰官员本周五表示：“由于软件更新，本周四电子监控踝带出现了短暂的中断，现在系统已经恢复正常。我们正在对所有佩戴监控踝带的人员进行全面调查，并努力让系统实现100%稳定。” 据悉本次更新于本周四早上推出，在更新之后导致所有监控踝带出现问题。目前尚不清楚究竟有多少人受到监控，但2017年发布的数据表明，平均每天有700人有踝关节监视器。迫于这种紧急情况，警察被迫先发制人地逮捕他们认为危险的人并将他们关在警察局。 虽然现在一切都恢复正常，但目前还不知道是否有罪犯利用这段空窗期进行逃脱或者切断他们的脚踝监视器，虽然这种几率非常低，甚至他们可能都没有意识到存在这个空窗期。援引外媒ZDNet报道，事实上荷兰警方在去年8月开展的网络升级中导致了和450名脚踝监视器的联系。去年5月，澳大利亚的750名监视设备也发生了同样的事情。   （稿源：cnBeta，封面源自网络。）

HackerNews.cc 5 月 9日消息，黑客正利用2018年揭露的Jenkins漏洞（CVE-2018-1000861 ）来进行挖矿活动。 Jenkins是最受欢迎的开源自动化服务器，它由CloudBees和Jenkins社区共同维护。 它在全球拥有数十万个活动安装，拥有超过100万用户。 SANS专家Renato Marinho发现了一个针对易受攻击的Apache Jenkins安装的恶意攻击活动，来传播一个名为Kerberods的门罗币挖矿恶意软件。据SANS研究所的网络风暴中心称，攻击者正在利用Jenkins服务器的CVE-2018-1000861漏洞，其存在于Stapler HTTP请求处理引擎中。 Marinho发现一些攻击击中了他的一个蜜罐，且正试图利用Jenkins漏洞来进行挖矿。在分析了这一蜜罐威胁之后，他创建了下图所示的图表（可以按照蓝色数字来理解每一步）。 Kerberods包含自定义版本的UPX打包程序，它尝试获取root权限以隐藏其存在来长期存续。在分析二进制文件后，Marinho发现使用的打包程序是“UPX”的自定义版本。UPX是一个开源软件，有许多方法可以修改UPX，使得用常规UPX版本解压缩文件很难。幸运的是，在本例中，UPX自定义版本只涉及魔术常量UPX_MAGIC_LE32从“UPX”修改为其他三个字母。因此，将二进制文件的不同部分还原为UPX，可以使用常规版本的UPX解压缩二进制文件。 一旦获得root权限，Kerberods会将一个库加载到操作系统中，该操作系统挂钩Glibc的不同功能，就像一个木马一样。在没有root权限的情况下，恶意软件创建了一个定时任务来确保其持久性。 Kerberods在受感染的系统上下载并执行门罗币加密货币挖掘器，它还使用本地SSH密钥进行横向移动。 恶意软件还会在互联网上搜索其他易受攻击的Jenkins服务器。   消息来源：Securityaffairs， 译者：Vill，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接