就在 Intel 宣布过去五年处理器上的熔断、幽灵两大安全漏洞已经全部修复完毕之后，又有研究人员公布了一个新的漏洞，再掀波澜。据研究人员称，这个名为 BranchScope 的新漏洞已在 Intel Sandy Bridge 二代酷睿、Haswell 四代酷睿、Skylake 六代酷睿上确认存在，和幽灵漏洞第二变种类似，也是涉及 CPU 的分支预测功能，可借助定向分支预测器诱骗 CPU 访问特制数据，从而发起攻击。 现在，我们拿到了 Intel 就此漏洞的官方回应。 Intel 表示，已经与相关研究人员合作，并确认新漏洞的攻击方式和此前已知的侧信道分析(side-channel attack)漏洞相似。 Intel 预计，此前对付已知侧信道漏洞的软件防护措施，比如加密算法，对于新的漏洞攻击是同样有效的。 换言之，这次曝光的新漏洞和之前的确实很类似，防护起来也差不多，因此影响不会太大，大家可以稍稍安心了。 Intel 官方回应全文如下： 我们已经与这些研究人员展开合作，并已确认他们所描述的攻击方式与此前已知的侧信道分析漏洞类似。 我们预计，用于应对此前已知的侧信道漏洞的软件防护措施，如使用加密算法防御侧信道攻击，对于该论文所述的攻击方式同样有效。 我们相信与研究人员的密切合作是保护客户及其数据的最佳途径之一，我们对这些研究人员的工作表示赞赏。 稿源：cnBeta、快科技，封面源自网络；

Github 去年推出的安全警告，极大减少了开发人员消除 Ruby 和 JavaScript 项目漏洞的时间。GitHub 安全警告服务，可以搜索依赖寻找已知漏洞然后通过开发者，以便帮助开发者尽可能快的打上补丁修复漏洞，消除有漏洞的依赖或者转到安全版本。 根据 Github 的说法，目前安全警告已经报告了 50 多万个库中的 400 多万个漏洞。在所有显示的警告中，有将近一半的在一周之内得到了响应，前7天的漏洞解决率大约为 30%。实际上，情况可能更好，因为当把统计限制在最近有贡献的库时，也就是说过去 90 天中有贡献的库，98% 的库在 7 天之内打上了补丁。 这个安全警报服务会扫描所有公共库，对于私有库，只扫描依赖图。每当发现有漏洞，库管理员都可以收到消息提示，其中还有漏洞级别及解决步骤提供。 安全警告服务现在只支持 Ruby 和 JavaScript，不过 Github 表示 2018 年计划支持 Python。 稿源：cnBeta、开源中国，封面源自网络；

iOS 11 中的相机 app 新增加了二维码扫描功能，可以自动识别很多内容，比如网站、App Store 链接以及 WiFi 等。上周末有用户发现，iOS 11 相机 app 存在严重的漏洞。根据 Infosec 报告，研究人员发现，iOS 11 相机 app 扫描的二维码可能欺骗用户，扫描出来的网站信息与真正前往的网站信息不同，这会导致用户访问的网站与实际看到的网站不同。 Infosec 利用这个漏洞制作了一个二维码，当用户扫描后，提示访问：facebook.com，但点开后却访问了 Infosec 自己的网站。 Infosec 认为，相机 app 不能正确的处理二维码中的 URL。自去年 9 月发布之后，iOS 11 出现了很多问题，包括影响所有 iOS 和 Mac 设备的熔断和幽灵 bug 等。Infosec 表示去年 12 月 23 日已经将二维码漏洞递交给苹果，不过截止至现在，苹果仍然没有修复这个问题。 稿源：cnBeta、MacX，封面源自网络；

据外媒报道，Drupal 安全团队确认由于受到一个高度关键漏洞的影响，他们将于 3 月 28 日（UTC 时间 18:00 – 19:30 之间）发布 Drupal 7.x、8.3.x、8.4.x 和 8.5.x 的安全版本。Drupal 建议用户预留时间进行核心更新，以防止遭到恶意攻击。  安全团队强烈建议如下： 1、8.3.x 上的站点应立即更新到该建议中提供的 8.3.x 版本，然后计划在下个月更新到最新的 8.5.x 安全版本。 2、8.4.x 上的站点应立即更新到该建议中提供的 8.4.x 版本，然后计划在下个月更新到最新的 8.5.x 安全版本。 3、使用正常程序发布咨询时，7.x 或 8.5.x 上的网站可以立即更新。 官方公告内容： Drupal 7 and 8 core highly critical release on March 28th, 2018 PSA-2018-001 消息来源：Security Affairs，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

上周，以色列安全公司 CTS-Labs 称发现了 AMD Zen 架构处理器和芯片组的安全隐患，3 月 21 日，AMD 在官方博客回应，称所有漏洞都可以在未来数周内完整修复，且不会对性能造成任何影响。在谈 AMD 的修复操作之前先说说 CTS-Labs 的“ 粗糙流程 ”，因为他们在报告给 AMD 不到 24 小时之后就向媒体公开，让 AMD 很是措手不及，这一点的确不地道，毕竟业内的共识是 90 天。 AMD 首先强调，相关漏洞并不涉及前一阶段沸沸扬扬的“ 熔断 ”和“ 幽灵 ”。其次，存在安全风险的是嵌入式的安全控制芯片（32 位 Cortex-A5 架构）的固件和搭载该模块的部分芯片组（AM4、TR4 等），并非 Zen 架构本身。 最后，掌握漏洞和实施攻击都需要完全的管理员权限，门槛还是很高的。 CTS 刚放出的漏洞演示 AMD 初步将漏洞划分为三类，分别是“ Masterkey ”“ RyzenFall/Fallout ”和“ Chimera ”，前两者涉及安全芯片，后者则涉及芯片组。 解决方法上，“ Masterkey ”和“ RyzenFall/Fallout ”可通过 BIOS 更新给 PSP 固件升级完全免疫，未来几周就会放出。 “ Chimera ”同样可通过 BIOS 更新解决，AMD 正和“ Promontory ”的外包商（应该是祥硕）一道加紧协作。 稿源：cnBeta、快科技，封面源自网络；

英特尔 CEO Brian Krzanich 今天宣布，下一代至强 Scalable（Cascade Lake）处理器和第八代英特尔酷睿处理器将采用全新设计的组件，并解决了 “Meltdown”（熔断）和 “Spectre”（幽灵）漏洞。“Spectre”（幽灵）变种 1 仍然需要通过软件解决。英特尔的下一代处理器将通过硬件设计的变化解决 “Spectre”（幽灵）变种 2 和 “Meltdown”（熔断）变种 3。 下一代至强 Scalable（Cascade Lake）处理器和第八代英特尔酷睿处理器将于2018年下半年面向厂商出货。除了硬件变化，英特尔还表示，将会对过去5年终所有的产品推出软件微代码更新，并建议所有顾客将系统升级到最新版本。 苹果在今年1月初开始解决“Meltdown”（熔断）和 “Spectre”（幽灵）漏洞，并发布了 iOS 11.2、macOS 10.13.2 和 tvOS 11.2 等升级修复熔断漏洞。iOS 11.2.2 和 macOS High Sierra 10.13.2 补充更新修复幽灵漏洞。 稿源：cnBeta，封面源自网络；

微软已经修补了 Meltdown 和 Specter 硬件漏洞，虽然该公司表示将在未来几个月内推出更多缓解措施，但它也试图确保没有任何可利用的漏洞会针对其用户。因此，这家软件巨头正在推出一项奖励计划，为那些发现新 bug 并将其向微软公开的人提供巨额奖金。 例如，第 1  层部分包含新类别的推测性执行攻击，并且可以带来不低于 25 万美元的财务奖励，而那些符合第 2 层和第 3 层的资格奖励则涉及绕过 Azure 测性执行缓解和绕过  Windows 推测性执行缓解的攻击方式，分别可以赚取高达 20 万美元奖金。 最后研究人员在 Windows 10 或 Microsoft Edge 中披露一个已知的漏洞实例，披露信任边界上的敏感信息，可获得 25000 美元的奖金。推测性执行攻击渠道漏洞需要行业响应。为此，微软将根据漏洞披露的原则，分享在此计划下发现的漏洞，以便受影响的各方可以就这些漏洞的解决方案进行合作。与安全研究人员一起，微软可以为客户构建更安全的环境。 新的 bug 奖励计划将于 3 月 14 日启动，并将持续到 12 月 31 日，微软表示如果发现任何攻击漏洞，所有细节将与其他公司共享，以便为所有客户提供保护。这种方法表明，微软及其合作伙伴最优先考虑这些硬件漏洞，尽管该软件巨头是首批为推车行为漏洞启动奖励计划的公司之一。 稿源：cnBeta，封面源自网络；

外媒 3 月 13 日消息，以色列安全公司 CTS Labs 发布报告称 AMD Zen 架构处理器和芯片组中存在 13 个类似 Spectre / Meltdown 的严重漏洞，影响了AMD Ryzen 和 EPYC 系列的处理器 。这些漏洞可能会允许攻击者访问敏感数据、在芯片内部安装恶意软件来获得对受感染系统的完全访问权限。目前根据 AMD Ryzen 桌面处理器、Ryzen Pro 企业处理器、Ryzen 移动处理器、EPYC 数据中心处理器的受影响情况，这些漏洞已被分为 RYZENFALL、FALLOUT、CHIMERA、MASTERKEY 四类。 RYZENFALL（v1，v2，v3，v4） 这些缺陷存在于 AMD 的安全操作系统中，影响 Ryzen 安全处理器（工作站/专业版/移动版）。 根据 CTS Labs 研究人员的说法，RYZENFALL 漏洞允许在 Ryzen 安全处理器上执行未经授权的代码，从而使得攻击者能够访问受保护的内存区域。此后，攻击者将恶意软件注入处理器中，并禁止 SMM 保护，以防止未经授权的 BIOS 刷新。 攻击者还可以使用 RYZENFALL 绕过 Windows Credential Guard 来窃取网络证书，然后将被盗数据传播到该网络内的其他计算机（甚至可能是高度安全的 Windows 企业网络）。 FALLOUT（v1，v2，v3） 这些漏洞位于 EPYC 安全处理器的引导加载程序组件中，能够允许攻击者读取和写入受保护的内存区域，如 SMRAM 和 Windows Credential Guard 隔离内存。除此之外，FALLOUT 还可能被利用来将持久的恶意软件注入到 VTL1 中（VTL1：安全内核和隔离用户模式( IUM )执行代码的区域） 。不过 FALLOUT 攻击似乎仅影响使用 AMD EPYC 安全处理器的服务器。 和 RYZENFALL 一样，FALLOUT 也会让攻击者绕过 BIOS 刷新保护，并窃取受 Windows Credential Guard 保护的网络凭据。 CHIMERA（v1，v2） 这两个漏洞实际上是 AMD 的 Promontory 芯片组内的隐藏制造商后门。据悉，该芯片组是所有 Ryzen 和 Ryzen Pro工作站的组成部分。 目前其中一个后门程序已经在芯片上运行的固件中实现，而另一个后门则在芯片的硬件（ASIC）上。实现这些后门程序后，攻击者能够在 AMD Ryzen 芯片组内运行任意代码，或者使用持久恶意软件重新刷新芯片。此外，由于WiFi、网络和蓝牙流量需要流经芯片组，攻击者也可利用芯片组的中间人位置对设备发起复杂的攻击。 研究人员透露，通过侦听流经芯片组的 USB 流量，允许攻击者看到受感染设备上的所有受害者类型，从而实现隐身键盘记录程序。 MASTERKEY（v1，v2，v3） EPYC 和 Ryzen（工作站/专业版/移动版）处理器中的这三个漏洞可能允许攻击者绕过硬件验证指导，以便使用恶意更新重新刷新 BIOS，并渗透到安全处理器以实现任意代码执行。 与 RYZENFALL 和 FALLOUT 一样，MASTERKEY 也允许攻击者做出一些恶意行为，比如：在 AMD 安全处理器中安装隐秘和持久的恶意软件、以最高的权限运行在内核模式下、绕过 Windows Credential Guard 窃取网络证书 。 除此之外，MASTERKEY 漏洞还允许攻击者禁用安全功能，如固件可信平台模块（fTPM）和安全加密虚拟化（SEV）。 CTS Labs  披露的这些漏洞可能会给 AMD 及其客户带来一些麻烦，并且也有可能需要几个月的时间才能解决所有的缺陷。 CTS Labs 披露漏洞细节： 《 Severe Security Advisory on AMD Processors 》 AMD 回应 Zen 安全漏洞（相关报道）： Security Researchers Publish Ryzen Flaws, Gave AMD 24 hours Prior Notice   消息来源：thehackernews，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 3 月 14 日消息，Sap 本周发布了其 3 月份的一组安全补丁，以解决产品中不同层级的漏洞问题，其中包括一些已经存在了十多年的安全缺陷。 SAP 发布的 27 个安全说明中，有 6 个具有高优先级，19 个被评为中等优先级，并且其中有 4 个是以前发布过的安全说明的更新。 本月处理的最常见的漏洞类型是缺少授权检查（占 6 个），其次是信息披露（5 个），跨站点脚本（4 个）。除此之外，SAP 还解决了 3 个 SQL 注入错误、2 个目录遍历问题、2 个实施漏洞以及拒绝服务、硬编码证书、XML 外部实体、代码注入和点击劫持错误等缺陷。 SAP 本月最厉害的安全说明解决了 SAP 网络图形服务器（IGS）中具有高优先级评级的三个漏洞（CVSS 基础评分：8.8），其中包括：CVE-2004-1308（内存损坏）、CVE-2005-2974（拒绝服务）和 CVE-2005-3350（远程代码执行）。这些漏洞已经存在十多年，影响 libtiff、giflib 、libpng 等处理图像（分别为 TIFF、GIF 和 PNG ）的第三方开源库。 不仅如此，SAP 还处理了两个高风险的信息披露漏洞，分别是影响 SAP HANA 捕获和重放跟踪文件（CVE-2018-2402 – CVSS 基本评分：7.6）、SAP 业务流程自动化( BPA ) (CVE – 20182400 – CVSS 基础评分：7.5 )的漏洞问题。 消息来源：securityweek，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 3 月 8 日消息，思科最近发布的一组安全更新中包括两个重要漏洞的修复方案 — 硬编码密码漏洞（CVE-2018-0141）和 Java 反序列化漏洞（CVE-2018-0147）。 硬编码密码漏洞（CVE-2018-0141）是由于系统上的硬编码帐户密码造成的，可被本地攻击者利用来获得对易受攻击设备的完全控制权。目前该漏洞仅影响思科 Prime Collaboration Provisioning（PCP）软件的 11.6 版本。虽然目前没有解决 PCP 软件漏洞的确切方法，但思科已经发布了补丁程序，并建议用户尽快升级到 PCP 12.1 版本，以避免出现安全问题。 影响思科安全访问控制系统（ACS）的 Java 反序列化漏洞，是由于受影响软件对用户提供的内容进行不安全的反序列化造成，可能允许未经身份验证的远程攻击者在受影响设备上执行任意命令。据悉，该漏洞已获得 9.8 的 CSS 评分 ，被归为高危漏洞一类。目前思科已经发布了软件更新来修复这个缺陷。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。