据外媒报道，黑客入侵网站植入挖矿脚本后利用用户的 CPU 挖掘数字货币的做法越来越流行。其相关数据统计，目前已有 2,496 家运行过时软件的网站遭到黑客植入恶意代码，并利用访问者 CPU 挖掘门罗币。 研究人员表示，其中 80% 的网站还被植入了其它恶意程序，允许黑客窃取访问者的银行卡信息。据称，这些网站植入的都是 Coinhive.com 提供的脚本，其中 85% 被入侵网站植入的脚本属于两个 Coinhive 账号、15% 的则属于其他 Coinhive 账号。值得注意的是，这些账号正被一个人或一个组织控制。 此外，根据资源管理器显示，CPU 占用率超过了 95％，而关闭这个网站后立即降到 9％。因此，如果用户打开内嵌挖矿代码的网站后不关闭，每台电脑每个月都会多消耗2.9-5美元的电费，这还不算对硬件寿命的额外损耗。目前，研究人员提醒用户可以通过广告屏蔽工具或专门扩展阻止挖矿脚本的运行。 稿源：根据 cnBeta、solidot奇客 综合整理，封面源自网络；

在海盗湾于后台运行比特币矿工程序，增加用户 CPU 使用率后，CBS 旗下的有线电视网 Showtime 被发现也在利用浏览者的 CPU 挖掘门罗币。 由于越来越多的网站、恶意程序、Chrome 扩展开始整合门罗币挖矿脚本，因此流行的广告屏蔽工具如 AdBlock Plus 和 AdGuard 加入了对 Coinhive 的屏蔽支持，一些 Chrome 扩展如 AntiMiner 和 minerBlock 也能阻止类似 Coinhive 的挖矿脚本。 Showtime 的两个域名 showtime.com 和 showtimeanytime.com 都嵌入了 JS 挖矿脚本 Coinhive。目前，尚不清楚加入的挖矿程序是否与海盗湾事件一样属于同一代替广告的实验，或者是网站遭到黑客入侵了。不过，Showtime 尚未对此发表评论。 稿源：solidot奇客，封面源自网络；

阿姆斯特丹自由大学系统及网络安全小组 VUSec 本月 15 日揭露了一项攻击技术，可绕过 22 款处理器的 ASLR 保护，波及 Intel、AMD、Nvidia 及 Samsung 等处理器品牌。 ASLR 是许多操作系统的预设安全机制，它在虚拟位址空间中随机配置应用程序的代码与资料，以提高黑客的攻击门槛，被视为保护网络用户的第一道防线。而 ASLR 的限制正是现代处理器管理内存的基础，VUSec 研究人员打造了一个 JavaScript 攻击程序可完全去除 ASLR 对处理器所带来的安全保障。 研究人员解释称，处理器中的内存管理单元（MMU）是借由快取阶层来改善搜寻页表的效率，但它同时也会被其他程序利用，像是浏览器中所执行的JavaScript。于是他们打造了名为 ASLRCache（AnC）的旁路攻击（side-channelattack）程序，可在 MMU 进行页表搜寻时侦测页表位置。 安全研究人员开发了 AnC 的原生版本与 JavaScript 版本，通过原生版本来建立可在 22 款处理器上观察到的 MMU 讯号，再以 JavaScript 版本找出 Firefox 及 Chrome 浏览器上的程序码指标与堆积指标，计算出档案的实际位址，最快只要 25 秒就能让 ASLR 的保护消失无踪。 现阶段 VUSec 已释出 AnC 的原生版本以供研究使用，但为了维护网络使用者的安全，并不打算发表 JavaScript 版本。即便如此，研究人员仍然预期任何拥有较高能力的黑客在几周内就可复制相关的攻击程序。VUSec 警告，由于 AnC 攻击程序利用的是处理器的基本属性，现在是无解的，对使用者而言，唯一的防范之道就是不执行可疑的 JavaScript 程式，或是直接在浏览器上安装可封锁 JavaScript 的插件。 其实 AnC 早在去年 10 月就出炉了，但当时 VUSec 决定先行知会相关业者，包括处理器、浏览器与操作系统领域，一直到本周才对外公开。 稿源：cnBeta；封面源自网络