https://linux.cn/article-11969-1.htmlhtml
過去五年的英特爾芯片都包含沒法修復的漏洞。好比漏洞 CVE-2019-0090 位於英特爾 CPU 和芯片組子系統 CSME 的掩模型只讀存儲器(mask ROM)中,沒法經過更新固件修復。linux
安全公司 Positive Technologies 的專家稱,問題不僅是不可能修復處理器和芯片組掩模型只讀存儲器硬編碼的固件錯誤,更使人擔心的是漏洞容許硬件層級的入侵,從總體上破壞了平臺的信任鏈。git
成功利用該漏洞的攻擊者能夠繞過英特爾 EPID 提供的安全保護,讓提取芯片組加密密鑰成爲可能。而這個加密密鑰不是平臺特定的,英特爾同一代芯片組都使用相同的單一密鑰。數據庫
Positive Technologies 擔憂提取出密鑰只是時間問題。一旦密鑰泄露,混亂將會發生,硬件 ID 將能僞造,數字內容將能被提取,硬盤加密的內容將能被解密。小程序
英特爾表示它正在嘗試屏蔽任何可能的利用矢量,但安全研究人員指出芯片巨人目前釋出的補丁只能阻擋其中一種。瀏覽器
來源:solidot.org安全
更多資訊
研究人員警告 Kilos 正在成爲暗網界的谷歌搜索引擎
Kilos 不僅是衡量體重的標準,由於某個灰暗的搜索引擎也用了這個名稱。近日,Digital Shadows 在一篇博客文章中指出,該搜索引擎「正在成爲互聯網黑幫中的 Google」。據悉,Kilos 彷佛從早前的 Grams 搜索引擎演變而來,且其頁面樣式明顯有模仿 Google 的痕跡。網絡
來源:cnBeta.COM搜索引擎
DuckDuckGo 分享追蹤雷達數據庫 致力增強線上隱私保護
DuckDuckGo 致力於提供隱私優先的搜索體驗,近日,其再次升級了隱私保護措施,以努力阻止針對用戶的線上追蹤。這家搜索引擎與瀏覽器技術製造商週四表示,其已分享「追蹤雷達」(Tracker Radar)數據集,其中詳細列出了 1727 家線上追蹤企業和組織所使用的 5326 個互聯網域名。編碼
來源:cnBeta.COM
微軟:99.9% 的被黑帳戶沒有使用多因素身份認證
在上週的 RSA 安全會議上,微軟的工程師稱,他們每一個月追蹤的 99.9% 的被攻擊帳戶沒有使用多因素身份驗證,而這種解決方案能夠阻止大多數自動帳戶攻擊。
來源:ChinaZ 站長之家
訂閱「Linux 中國」官方小程序來查看