该漏洞允许黑客在游戏服务器上运行恶意命令并危及游戏玩家设备安全。 上周六，Minecraft安全社区MMPA的研究人员在一篇博客中提醒游戏用户，《Minecraft》游戏的部分1.7.10/1.12.2模组中存在一个已被多次利用的重大安全漏洞，该漏洞允许黑客在游戏服务器上运行恶意命令并危及游戏玩家设备安全。 据了解，微软旗下的热门游戏《Minecraft》是有史以来销量最高的视频游戏，已售出超过2.38亿份，每月活跃玩家接近1.4亿。MMPA称，BleedingPipe漏洞允许黑客在玩家设备和运行Minecraft模组的服务器上执行完整的远程代码。 根据MMPA的说法，热门模组平台Forge使用了不安全的反序列化代码（反序列化是将复杂数据从序列化格式转换回其原始形式的过程，能够方便存储或传输。如果实施不慎，可被攻击者利用并实现远程代码执行），BleedingPipe漏洞已经被多次利用，该平台上的许多Minecraft模组都受到了影响（数量超过三十个）。已知受影响的模组包括但不限于以下几个：EnderCore（EnderIO的前置模组）、LogisticsPipes、BDLib（1.7-1.12版本）、Smart Moving 1.12、Brazier、DankNull和Gadomancy。并且，只要安装了受影响的模组，任何Minecraft版本都可能受到此漏洞的影响。 这个Minecraft漏洞最早是在2022年3月被发现。当时mod开发团队GTNH为此发布了一个修复补丁。然而，7月初，一位名为Yoyoyopo5的Minecraft玩家在一个带有Forge模组的公共服务器上进行直播时，攻击者利用BleedingPipe漏洞获取了对所有连接玩家设备的控制权并执行了代码。Yoyoyopo5在其帖子中报告了这一事件，称黑客利用这个访问权限从Discord和Steam中窃取了会话cookie。 在最初的报告之后，研究人员发现黑客对IPv4地址空间上的所有Minecraft服务器进行了扫描，并在受影响的服务器上部署了恶意载荷。为降低安全风险，MMPA给出了如下建议： 对于服务器管理员：建议检查服务器中的可疑文件，并更新/删除受此漏洞影响的模组。由于恶意软件通常会感染系统上的其他模组，因此建议在所有已安装的模组上运行jSus或jNeedle之类的程序。 对于玩家：如果游戏玩家不在服务器上游玩游戏，则不受影响。否则建议检查可疑文件，运行杀毒软件进行防病毒扫描。     转自安全内参，原文链接:https://www.secrss.com/articles/57334 封面来源于网络，如有侵权请联系删除

研究人员发现了一种新的恶意软件，名为 WikiLoader 恶意软件。之所以这样命名，是因为它向维基百科发出请求，希望得到内容中包含 “The Free “字符串的响应。 WikiLoader 恶意软件的主要目标是意大利企业及组织。 WikiLoader 是一种高级下载管理器，旨在部署额外的恶意有效载荷。该恶意软件采用了巧妙的规避方法和独特的代码执行，使其难以检测和分析。 目前来看，WikiLoader 的创建目的可能是出租给特定的网络犯罪行为者。 Proofpoint 关于 WikiLoader 的报告称：”根据观察到的使用情况，预计这种恶意软件很可能会被其他威胁行为者使用，特别是那些作为初始访问代理（IAB）运营的威胁行为者。 传播 WikiLoader 恶意软件的活动 WikiLoader 恶意软件会通过电子邮件发送给用户，邮件附件包括 Microsoft OneNote、PDF 文档或 Excel 表单，如下截图所示。 Excel 附件被设计成意大利税务局的样子，但实际上这只是欺骗用户的虚假文件。 网络安全公司Proofpoint在其博客文章中详细介绍了WikiLoader，作为一个下载器，它可以安装第二个恶意软件有效载荷，并能逃避检测。 这种被开发的恶意软件可以访问网络主机，并通过 HTTP cookies 外泄主机数据。网络犯罪分子被发现使用 Discord 的 CDN 作为文件主机。不过，尚未证实 Discord 是否已被入侵。 使用 WikiLoader 的网络犯罪分子在任何 Discord 聊天中上传样本，并将 Discord 链接复制到附件。 使用 WikiLoader 恶意软件的网络犯罪分子 WikiLoader 最先被一个名为 TA544 的网络犯罪团伙发现使用。据了解，该组织曾使用 Ursnif 恶意软件攻击意大利的组织。研究人员认为，该恶意软件主要会被作为初始访问代理（IAB）的网络犯罪分子使用。 Proofpoint的研究人员发现，从2022年12月开始，有近8个传播WikiLoader恶意软件的活动。另一个名为TA551的组织使用WikiLoader攻击意大利组织。 今年2月，TA544被发现使用另一个更新版本的WikiLoader攻击意大利组织。 今年 3 月，TA551 再次利用附在 OneNote 文档中的可执行文件发送意大利语电子邮件。 今年 7 月 11 日，发现 TA544 使用了最新版本的 WikiLoader 恶意软件。这次活动发送了超过 15 万条信息，但目标不在意大利。 WikiLoader 恶意软件的其他详细信息 第一个版本的 WIkiLoader 恶意软件的 shellcode 没有进行太多的混淆处理，但在 2023 年 2 月 8 日发现的第二个版本增加了复杂性，并使用了编码字符串。 第三个版本的 WikiLoader 恶意软件进行了以下升级： 可进行间接系统调用 从装载程序中渗出包含主机数据的 cookies 可在一小时内执行加载器 Shellcode 阶段是使用 NtWriteVirtualMemory 逐字节写入的 在二月份的活动中，攻击者发送了伪装成意大利快递服务的电子邮件。该电子邮件包含安装了WikiLoader恶意软件的VBA宏启用Excel文档。 Proofpoint 博客中写道：这一版本的 WikiLoader 包含更复杂的结构、用于逃避自动分析的额外停滞机制以及编码字符串的使用。 与恶意软件一起使用的打包下载器是为了逃避检测和分析。WikiLoader 恶意软件可执行文件较小，用于下载实际有效载荷。这种机制还允许黑客控制有效载荷的传输。他们可以控制下载活动的时间范围，并加入 IP 过滤等功能。     转自Freebuf，原文链接:https://www.freebuf.com/news/373642.html 封面来源于网络，如有侵权请联系删除

奥地利和德国的科学家设计出了一种针对计算机CPU的功率监控侧信道攻击，能够从变化的功率中泄露设备敏感数据。 该项研究概况于8月1日刊载于德国IDW（Informationsdienst Wissenschaf）网站上，这种攻击手法被称为 Collide+Power（碰撞+功率），依靠分析处理器的功率使用情况来确定 CPU 缓存存储器的内容。如果攻击者能够持续访问受害者的硬件或共享硬件的云计算环境，就有可能暴露加密密钥和其他相当短的标识符。 Collide+Power 依靠测量来自攻击者的已知数据和来自受害者的未知数据电能使用情况的变化，然后根据这些测量结果的差异推断未知数据。这种方法是用攻击者控制的数据填充 CPU 缓存集，然后用受害者的进行覆盖。由于功耗随需要更改的位数而变化，攻击者可以通过更改已知的控制值来重复这一过程，并反复重新测量功耗，从而确定受害者系统中的数据。 与 PLATYPUS 和 Hertzbleed 等类似的侧信道攻击不同，Collide+Power 声称是一种通用攻击，可在任何允许攻击者和受害者数据位于同一内存缓存空间的 CPU 上使用。与 Spectre 等依赖于特定微架构结构的攻击相比，研究人员声称 Collide+Power 与 Rowhammer 更相似，源于 CPU 的基本物理特性，因此难以缓解。 这项研究成果被认为是第一个使用功率测量直接从处理器获取数据的侧信道攻击，弥补了功率侧信道攻击检测方面的差距。但这种攻击手法缺陷也很明显：攻击速率奇慢无比。 Collide+Power 有两种类型：缓慢型（Slow）和冰川型（Glacial）。第一种变体被称为 MDS-Power，仅能以每小时 4.82 比特的速度从位于同级硬件线程上的另一个安全域窃取数据。如果攻击者打算从云供应商那里窃取私钥，需要花费一个多月的时间才能获得一个4096 位的RSA 密钥。 另一种变体被称为Meltdown-Power，与臭名昭著的 Meltdown 漏洞有关，每小时能获取的数据仅为0.136 比特。在现实条件下，内存预取的工作方式意味着攻击速度更慢。研究人员估计，如果真的采用这种方法，需要 2.86 年才能从内核中获取1个比特的数据。 研究人员已向 AMD、ARM 和英特尔披露了他们的发现，该漏洞被追踪为CVE-2023-20583，目前尚无具体分数。但AMD已将严重程度评为低级， 英特尔不打算发布公告，称经评估了这项研究，并确定不需要采取新的缓解措施。一位发言人表示，英特尔产品中的现有功能和减轻电源侧信道攻击的指南在这种情况和其他已知情况下均是有效的。     转自Freebuf，原文链接:https://www.freebuf.com/news/373635.html 封面来源于网络，如有侵权请联系删除

7月31日，加拿大消费级和专业级心脏监测技术提供商CardioComm Solutions遭遇网络安全事件，导致服务中断。 7月25日，这家总部位于多伦多的公司表示，由于“公司服务器遭遇网络安全事件”，业务运营将“受到数天甚至更长时间的影响”。 截至目前，CardioComm网站仍然无法访问，仅显示一条文本消息，提醒客户该公司“正在经历服务中断”。 图：CardioComm官网 官网消息证实，服务中断影响了CardioComm多款产品，包括便携式心电图监测器HeartCheck CardiBeat。这款产品可通过蓝牙连接至用户的智能手机，帮助消费者将监测结果传输给医生、诊所或CardioComm智能监测心电图读取服务。 公司旗下软件Global Cardio 3和Home Flex也受到影响。Global Cardio 3应用于医学诊断行业，负责记录患者心电图并生成心电图报告。Home Flex软件允许消费者上传并共享心脏读数。 目前尚不清楚服务中断范围究竟有多大，会对依赖这些设备进行家庭测试的消费者产生哪些影响。CardioComm首席执行官Etienne Grima尚未回应相关提问。 尽管CardioComm还没有分享有关此次安全事件性质的更多细节，但表示正在努力恢复数据并重新建立生产服务器环境。这表明该公司可能经历了勒索软件攻击等破坏性事件。 CardioComm表示，并没有证据显示此次攻击影响了客户的健康信息。但是，已经采取措施防范身份盗窃，以防调查确定员工个人信息受到泄露。 本月早些时候，美国网络安全和基础设施安全局（CISA）发布警告，表示医疗器械公司美敦力公司的一款心脏设备存在严重漏洞。 此外，去年9月，美国联邦调查局警告称，广泛使用的医疗设备存在数百个漏洞，为网络攻击留下了后门。FBI特别指出了在心脏内复律器、移动心脏遥测器、心脏起搏器中发现漏洞，认为恶意黑客可能接管这些设备并更改读数，施加过量药物，或“以其他方式危及患者健康”。     转自安全内参，原文链接：https://www.secrss.com/articles/57290 封面来源于网络，如有侵权请联系删除

VulCheck研究人员警告称，MikroTik RouterOS有一个关键漏洞，被追踪为CVE-2023-30799（CVSS得分：9.1），可以针对500000多个RouterOS系统发起大规模攻击。 NIST发布的公告中写道：“ MikroTik RouterOS是一个操作系统，在MikroTik的路由器和其他网络设备上运行，很容易出现权限升级问题。远程且经过身份验证的黑客可以在Winbox或HTTP接口上将权限从管理员升级为超级管理员，从而在路由器上获得根外壳程序，利用此漏洞在系统上执行任意代码。” 该漏洞本身于2022年6月首次披露，但在Vulneck发布新漏洞后才分配了CVE。现在已经有了补丁，但研究人员表示，全球约有47.2万台RouterOS设备通过其网络管理界面仍然存在漏洞，如果通过Winbox管理客户端进行攻击，这一数字将上升到92万多台。 Mikrotik RouterOS操作系统不支持暴力保护，默认的“admin”用户密码在2021年10月之前是空字符串。随着RouterOS 6.49于2021年10月发布，管理员被提示应更改密码。 更让人震惊的是，检测CVE-2023-30799的利用“几乎不可能”，因为RouterOS web和Winbox接口实现了自定义加密，而威胁检测系统Snort和Suricata无法解密和检查这些加密。一旦黑客在设备上站稳脚跟，RouterOS UI就无法看到它。研究人员建议密切关注暴力尝试或将恶意ELF二进制文件上传到设备的行为，以此来识别任何正在进行的攻击。以下是专家们提出的建议： 1.从互联网上删除MikroTik管理界面。 2.限制管理员可以登录的IP地址。 3.禁用Winbox和web界面。仅使用SSH进行管理。 4.配置SSH以使用公钥/私钥并禁用密码。 正如我们所看到的，在硬件上利用CVE-2023-30799非常容易。鉴于RouterOS作为APT目标的悠久历史，再加上FOISted早在一年多前就发布了，应该早有群体发现了这一问题。     转自E安全，原文链接:https://mp.weixin.qq.com/s/EX-b0OqZj3Y3-8fqQUH1sg 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，WordPress 表单构建插件 Ninja Forms 存在三个安全漏洞，攻击者可以通过这些漏洞实现权限提升并窃取用户数据。 2023 年 6 月 22 日，Patchstack 的研究人员向插件开发者 Saturday Drive 报告了这三个漏洞详情，并警告称漏洞会影响 NinjaForms 3.6.25 及以上版本。 2023 年 7 月 4 日，Saturday Drive 发布新版本 3.6.26 修复了漏洞问题，但根据 WordPress.org 统计数据显示只有大约一半的 NinjaForms 用户下载最新版本。（大约 40 万个网站仍未更新，可能存在被攻击的风险） 漏洞详情 Patchstack 发现的第一个漏洞是 2CVE-2023-37979，该漏洞是一个基于 POST 的反射 XSS（跨站点脚本）漏洞，允许未经身份验证的用户通过诱骗特权用户访问特制的网页，以此提升权限并窃取信息。 第二个漏洞和第三个漏洞分别被跟踪为 CVE-2023-38393 和 CVE-2023-3 8386，允许订阅服务器和贡献者导出用户在受影响的 WordPress 网站上提交的所有数据。 值得一提的是，以上漏洞都高度危险，尤其是 CVE-2023-38393 更是如此。任何支持会员资格和用户注册的网站，一旦使用易受攻击的 Ninja Forms 插件版本，都容易因该漏洞而发生大规模数据泄露事件。 包含 CVE-2023-38393 的处理功能 Saturday Drive 在 3.6.26 版本中应用的修补程序主要包括为损坏的访问控制问题添加权限检查，以及防止触发已识别 XSS 的功能访问限制。 Patchstack 报告中包含了三个漏洞的详细技术信息，因此对于懂技术的威胁攻击者来说，利用这些漏洞应该是得心应手。为防止网络攻击者利用这些漏洞，Patchstack 公开披露漏洞的时间推迟了三周多，并一再督促Ninja Form用户尽快进行修补。 最后，建议所有使用 Ninja Forms 插件的网站管理员尽快更新到 3.6.26 或以上版本，如果发现未更新的用户，管理员应该从用户的网站禁用插件，直到其应用最新补丁。     转自Freebuf，原文链接:https://www.freebuf.com/news/373286.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，Wiz 研究人员 s.Tzadik 和 s.Tamari 发现 Ubuntu 内核中存在两个 Linux 漏洞 CVE-2023-32629 和 CVE-2023-2640，没有特权的本地用户可能利用其在设备上获得更高权限，影响大约 40% 的 Ubuntu 用户。 Ubuntu 是目前使用最广泛的 Linux 发行版之一，拥有大约 4000 多万用户。 CVE-2023-2640 是存在于 Ubuntu Linux 内核中的一个高严重性（CVSS v3得分：7.8）漏洞，之所以出现是因为权限检查不充分，从而允许本地攻击者获得过高的权限。另外一个漏洞 CVE-2023-32629 是存在于 Linux 内核内存管理子系统中的一个中等严重性（CVSS v3 分数：5.4）漏洞，允许本地攻击者执行任意代码。 s.Tzadik 和 s.Tamari 两位分析师发现在 Linux 内核上实现 OverlayFS 模块的差异后，找到了这两个漏洞问题。（OverlayFS 是一种联合装载文件系统实现，因其允许通过用户名称空间进行无特权访问，并且受到容易被利用的漏洞的干扰，过去曾多次受到威胁攻击者的攻击） Ubuntu 作为使用 OverlayFS 的发行版之一，在 2018 年对其 OverlayFS 模块进行了自定义更改，总体上来说应该是安全的。 然而在 2019 年和 2022 年，Linux 内核项目对该模块进行了修改，这就与 Ubuntu 的更改起了冲突，新版本广泛分发采用了包含这些更改的代码，因此冲突引入了这两个漏洞。更不幸的是，这两个漏洞存在被利用的风险，毕竟它们的 PoC 已经公开了很长一段时间。   Wiz研究人员警告称这两个漏洞源于 Ubuntu 对 OverlayFS 模块的单独更改，都针对 Ubuntu 内核，目前针对这些漏洞的武器化攻击已经公开。需要注意的是这两个漏洞只会影响 Ubuntu，其它包括 Ubuntufork 在内的 Linux 发行版以及不使用 OverlayFS 模块的自定义修改都应该是安全的。 近期，Ubuntu 发布了一份关于最新版本Ubuntu Linux 内核中存在六个漏洞的安全公告，并提供了修复更新版本， 建议尚不清楚如何重新安装和激活第三方内核模块的用户通过包管理器执行更新（包管理器应负责所有依赖项和安装后配置）。此外， 用户要注意安装 Linux 内核更新后，需要重新启动才能在Ubuntu 上生效。           转自Freebuf，原文链接:https://www.freebuf.com/news/373188.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 在软件提供商Ortivus遭受网络攻击后，至少两家英国救护车服务机构无法访问电子病历。 Ortivus是一家瑞典软件公司，专门为医疗保健和医疗行业提供解决方案。他们专注于开发电子病历系统和相关医疗数据管理的应用。 该公司解释说，这次攻击发生在2023年7月18日晚上，事件影响了其托管数据中心的英国客户系统。 该公司报告称“电子病历目前无法使用，在另行通知之前，将使用手动系统处理。没有患者受到直接影响，也没有其他系统受到攻击。托管数据中心以外的客户并未受到影响。Ortivus目前正在与受影响的客户密切合作，恢复系统和数据。受影响的客户为在托管环境中使用MobiMed电子病历系统的客户。”该公司没有透露攻击的细节，但它也通知了当局客户。 Ortivus没有说明受影响的救护车服务机构的名称，但据El Register的消息，它们是西南救护车服务信托基金和中南救护车服务信托基金。根据2020年签署的协议，两家公司都转移到Ortivus的MobiMed软件托管环境中。这两项服务为大约1200万常住人口提供服务。 2023年7月20日，Ortivus宣布准备启动MobiMed ePR，为在最近的网络攻击中受到影响的英国客户提供电子病历。     消息来源：securityaffairs，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

土耳其总统选举前一年多，一家英国安全机构曾警告TikTok有漏洞被利用。但是，该公司并未修复漏洞。 安全内参7月26日消息，土耳其总统埃尔多安险胜连任的几周前，TikTok代理安全主管Kim Albarella收到一条坏消息：多达70万个土耳其TikTok账户遭到黑客攻击，攻击者能够访问用户个人信息并控制他们的账户。 根据TikTok内部电子邮件、聊天记录、文件，以及其他内部、外部信息，该公司早在一年前就知道这个漏洞。该漏洞源于所谓的“灰色路由”， 即通过不安全的渠道发送短信。 2022年4月，TikTok安全主管Roland Cloutier收到英国国家网络安全中心——英国情报机构“政府通信总部”（GCHQ）下属部门发来的电子邮件。邮件警告，如使用灰色路由，俄罗斯等其他国家的“SIM卡农场”可能会请求和拦截一次性密码，获取TikTok用户账户的访问权限。 通俗来讲，灰色路由就是通过不安全的渠道发送短信，从而绕过国际电信协议规定的费用。使用灰色路由可以节约公司成本，避开速率限制和反垃圾邮件检测。但是，这样做可能会危及信息安全，使信息易受拦截。 迄今规模最大的 TikTok账户被攻击事件 Roland Cloutier团队对GCHQ提供的信息展开内部调查，发现TikTok确实在使用灰色路由来降低成本。调查结束后，TikTok公司一开始考虑更换短信服务提供商。但是，该公司最终决定不予更换，原因显而易见——如修复灰色路由问题，公司每月将损失数百万美元。 美国斯坦福大学网络观察室主任、前Facebook安全主管Alex Stamos警告说，因为没有更多信息，很难判断此次TikTok数据泄露有多严重。他表示：“这可能是一次高级垃圾邮件攻击，也可能是国家行为者发动的攻击。如果只是70万个账户被黑，我会说那不过一个普通的星期三。”但是，他也指出，短信劫持攻击通常比随机接管攻击更有针对性，“威权主义国家一般都会控制电信公司。” TikTok公司承认，这次利用漏洞的黑客攻击是迄今为止规模最大的TikTok账户被攻击事件。（TikTok否认了2022年9月ATW组织声称泄露数据的传闻。） TikTok发言人Alex Haurek撰写电子邮件，回应对这次攻击的详细询问：“TikTok在4月意识到，一些异常活动影响了部分用户账户的点赞和关注数量。我们立即采取措施遏制并终止这些活动，并通知了受影响的用户，帮助他们保护了自己的账户。TikTok没有被‘黑’。我们的内部系统没有受到破坏，也没有公司数据被窃取。TikTok发现数据泄露后，立即对不真实行为加强监控，努力化解问题。目前问题已得到解决。TikTok没有发现任何未经授权的内容被发布或用于私信。” 权力即责任！ TikTok面临高安全要求 最近几个月，TikTok及母公司字节跳动一直面临着美国严厉的数据安全审查。 今年4月，福布斯爆料称，TikTok首席执行官周受资在最近的听证会上表示“TikTok美国数据一直存储在弗吉尼亚州和新加坡”，然而并非如此。同时，字节跳动正接受美国联邦刑事调查，原因是他们利用TikTok应用对新闻工作者进行监视。 目前尚不清楚是谁利用了前述漏洞。在埃尔多安的领导下，土耳其政府经常利用国家支持的网络攻击团队，对新闻工作者和其他批评人士实施攻击和恐吓。5月大选前，埃尔多安依靠深度伪造技术和审查手段吸引选民。他在选举中的主要对手Kemal Kilicdaroglu还指责俄罗斯政府在选举前几天散布虚假信息。 TikTok发言人Alex Haurek表示，TikTok内部调查并未发现这一活动与土耳其选举有关。 TikTok 是世界上最受欢迎的应用之一。这次安全漏洞凸显了该公司拥有的力量和应承担的责任。与科技巨头Meta（Facebook）、推特和谷歌一样，TikTok无穷无尽的个性化推送有能力影响市场、改变文化、左右选举结果。这种力量令人担忧TikTok公司与其他政府的关联。同时，拥有数十亿用户的TikTok应用也成为黑客、机器人军团、网络骗子等网络犯罪分子的主要目标。 TikTok或将成为 下一个政治讨论场所 信息利用风险在存在人权侵犯记录的国家，以及重要选举之前会加剧。 TikTok一直强调，政治在其平台上属于次要地位。这是为了突出他们与Facebook的区别。 Facebook曾鼓励政治家利用他们的平台传播理念。TikTok游说人员告诉政客和记者，TikTok“不是政治活动的首选场所”，同时又保证，TikTok平台上的政治言论不会被审查。 但是，随着推特逐渐右倾，Meta对政治内容的态度发生180度转变，TikTok可能自然而然地成为下一个政治讨论场所。 近日，TikTok发布了一篇博文，宣布其应用正在引入通行密钥，让用户无需使用短信验证码即可登录账户，并加入了FIDO联盟这一安全验证标准组织。FIDO 联盟的一条推文显示，TikTok于4月加入了该组织，而新的通行密钥功能在6月末推出。 当被问及 TikTok 或字节跳动的短信供应商现在是否仍在使用灰色路由时，Haurek表示：“像许多跨国公司一样，我们在电信领域拥有多个合作伙伴，虽然我们没有按地理位置披露这些合作伙伴，但我们不断努力保持我们的社区是安全的。”     转自安全内参，原文链接:https://www.secrss.com/articles/57110 封面来源于网络，如有侵权请联系删除

近日，Google安全研究员Tavis Ormandy发现了一个影响AMD Zen2 CPU的释放后利用漏洞，黑客可利用该漏洞以每个CPU核心30KB/秒的速度窃取敏感数据，例如（用户登录时的）密码和加密密钥。该漏洞与操作系统无关，因此在Zen 2 CPU上运行的所有操作系统都会受到影响。 该漏洞（CVE-2023-20593）影响基于Zen 2架构的所有AMD CPU，包括Ryzen 3000（“Matisse”）、Ryzen 4000U/H（“Renoir”）、Ryzen 5000U（“Lucienne”）、Ryzen 7020以及高端ThreadRipper 3000和Epyc服务器（“Rome”）处理器。 攻击者可利用该漏洞从任何系统操作中泄露敏感数据，包括在虚拟机、隔离沙箱、容器等中发生的操作。 该漏洞是由于处理器推测执行期间对名为“vzeroupper”的指令处理不当造成的，推测执行是所有现代处理器的常见性能增强技术。 研究人员于2023年5月15日向AMD报告了该漏洞，并于7月24日发布了漏洞利用概念验证(PoC)。 Ormandy使用模糊测试和性能计数器来发现特定的硬件事件，并使用一种称为“Oracle序列化”的方法验证结果。 通过这种方法，研究者能够检测到随机生成的程序的执行与其序列化预言之间的不一致，从而在Zen2 CPU中发现了CVE-2023-20593漏洞。 缓解措施 如果您的CPU受到“Zenbleed”漏洞的影响，建议应用AMD的新微码更新或等待计算机供应商在未来的BIOS升级中发布修复程序。 或者，研究人员提出了将“chicken bit”设置为DE_CFG[9]的缓解方法，但这种解决方法会导致CPU性能下降。 研究者认为，Zenbleed漏洞很难检测，因为“vzeroupper”的不当使用不需要提升权限或特殊的系统调用，因此会非常隐蔽。 好消息是，Zenbleed对普通用户的实际影响相对较低，因为它需要对目标系统的本地访问以及高度的专业化和知识来利用。 对于普通用户来说，缓解Zenbleed漏洞的最佳方法是让系统保持最新的安全补丁，并在BIOS更新可用时立即更新。     转自GoUpSec，原文链接:https://mp.weixin.qq.com/s/JJc33CQNCC9mNpIXulmEIQ 封面来源于网络，如有侵权请联系删除