HackerNews 编译，转载请注明出处： 一名白帽黑客攻破了英特尔的四个内部系统，发现27万名英特尔员工的敏感数据遭到泄露。随后，他花费数月时间帮助该公司堵塞漏洞，最终只收到一封自动回复的感谢信。 安全研究员伊顿·兹维尔（Eaton Zveare）发现，可以绕过英特尔印度公司名片订购网站的身份验证。该系统的API响应返回的数据远超出研究员的预期。...

HackerNews 编译，转载请注明出处： 苏黎世联邦理工学院（ETH Zürich）的研究人员发现了一个新的安全漏洞，影响所有现代英特尔CPU并导致内存敏感数据泄露，这表明被称为Spectre的漏洞在七年后仍在持续影响计算机系统。该漏洞被命名为分支特权注入（BPI），“可被利用来滥用CPU（中央处理器）的预测计算，...

据Info risk today消息，英特尔公司的人工智能模型压缩软件Neural Compressor 中存在一个最高级别的漏洞，该漏洞在 CVSS 的评分为满分10分，黑客可以在运行受影响版本的系统上执行任意代码。 Neural Compressor 软件可帮助公司减少人工智能模型所需的内存量，同时降低缓存丢失率和使用神经网络的计算成本，帮助系统实现更高的推理性能。公司使用开源 Python 库在不同类型的硬件设备上部署人工智能应用，包括那些计算能力有限的设备（如移动设备）。 英特尔没有说明有多少公司使用该软件，也没有说明受影响的用户数量，称该漏洞只影响使用 2.5.0 之前版本的用户。...

研究人员发现，英特尔和联想等设备供应商仍未修补影响底板管理控制器 ( BMC )中使用的 Lighttpd Web 服务器的安全漏洞。 虽然最初的缺陷早在 2018 年 8 月就被 Lighttpd 维护者在1.4.51 版本中发现并修补，但由于缺乏 CVE 标识符或建议，这意味着它被 AMI MegaRAC BMC 的开发人员忽视，最终出现在产品中由英特尔和联想提供。 Lighttpd（发音为“Lighty”）是一款开源高性能 Web 服务器软件，专为速度、安全性和灵活性而设计，同时针对高性能环境进行了优化，且不会消耗大量系统资源。...

今日，谷歌的一位高级研究科学家利用一个漏洞设计了一种新的CPU攻击方法，该漏洞可影响多个英特尔微处理器系列，并允许窃取密码、加密密钥以及共享同一台计算机的用户的电子邮件、消息或银行信息等私人数据。
该漏洞被追踪为CVE-2022-40982，是一个瞬态执行侧通道问题， 转自Freebuf，原文链接:https://www.freebuf.com/news/374376.html 封面来源于网络，如有侵权请联系删除...

攻击概述 (arxiv.org) 用于计时瞬态执行攻击的伪代码 (arxiv.org) 然而，研究人员指出，这种定时攻击不如缓存状态侧信道方法可靠，并且为了在最近的芯片中获得更好的结果，这种攻击必须重复数千次。

由实验数据评估分析得出：“在实验中，我们发现 EFLAGS 寄存器对 Jcc 指令执行时间的影响不像缓存状态那样持久。在瞬态执行后的大约 6-9 个周期内，...

之前我们报道过英特尔酷睿Alder Lake BIOS的源代码已在被完整地泄露了，未压缩版本的容量有5.9GB，它似乎可能是在主板供应商工作的人泄露的，也可能是一个PC品牌的制造伙伴意外泄露的。 一些Twitter用户似乎认为该代码源自4chan。昨天，它进被分享到了GitHub，在今天早些时候被撤下之前，有人查看了它的源代码日志，发现最初的提交日期是9月30日，作者被标记为LC Future Center的一名员工，这是一家可能生产笔记本电脑的公司，该代码现在依然可以从几个镜像中获得，...

在英特尔和微软今天发布的公告中，表示多款英特尔酷睿处理器存在一系列 CPU 漏洞。这些安全漏洞与 CPU 的内存映射 I/O（MMIO）有关，因此被统称为“MMIO陈旧数据漏洞”（MMIO Stale Data Vulnerabilities）。威胁者在成功利用一个有漏洞的系统后， 在其安全公告 ADV220002 中，微软描述了潜在的攻击场景：
成功利用这些漏洞的攻击者可能会跨越信任边界读取特权数据。在共享资源环境中（如存在于一些云服务配置中），这些漏洞可能允许一个虚拟机不正当地访问另一个虚拟机的信息。在独立系统的非浏览场景中，攻击者需要事先访问系统，...

Intel Labs在去年宣布了ControlFlag项目，以利用人工智能寻找代码中的漏洞。ControlFlag是一个开源的、利用机器学习来发现任意代码库中的错误的项目，起初它专注于发现C/C++代码中的错误，但随着其新的V1.1版本的发布，开始支持发现PHP代码当中的错误。 ControlFlag利用机器学习来挖掘开源项目的C/C++代码库中的模式，进而检测用户提供的代码中的异常模式。英特尔使用成千上万的GitHub项目提供了C/C++训练数据。...

2018年，英特尔、AMD、ARM曝出CPU安全事件，引起广泛关注，舆论一片哗然。虽然英特尔公司表示此次事件不仅仅是英特尔，还涉及AMD/ARM等厂商，且CPU 漏洞补丁基本不会给普通用户造成任何影响，但这次bug依旧被定为成行业大事件。 时隔几年，CPU又再次曝出一个大bug，有意思的是，英特尔、AMD、ARM一个也没拉下，全部都受到影响。 据外媒报道，安全人员发现了一种新方法，可以绕过现有的基于硬件的防御措施，在英特尔、AMD和ARM的计算机处理器中进行推测执行，可允许攻击者泄露敏感信息。...