记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

英特尔叫停“幽灵”漏洞补丁 因为它本身就有漏洞

别点击那个下载按钮……保护英特尔处理器不受“幽灵(Spectre)”CPU漏洞影响的固件补丁有一个巨大的副作用:会导致机器频繁重启和其他性能问题,连2017年出厂的PC都受影响。该问题甚至严重到了英特尔都建议用户不要安装当前补丁,最好等待新补丁推出。1月22日,英特尔执行副总裁纳文·谢诺伊在博文中说:“我们已经找到了Broadwell和Haswell平台上的问题根源,解决方案的开发进展良好。我们建议代工厂(OEM)、云服务提供商、系统生产商、软件提供商和终端用户停止部署当前版本的补丁,因为当前补丁可能会带来预料之外的重启和其他非预期的系统行为。”该建议颠覆了英特尔之前的修复指南。之前英特尔称,尽管有引发系统频繁重启的风险,用户还是应该安装该CPU固件补丁。虽然谢诺伊的博文中明确提到的芯片只有Broadwell和
发布时间:2018-01-25 00:35 | 阅读:150406 | 评论:0 | 标签:牛闻牛评 CPU漏洞 幽灵 漏洞补丁 英特尔 漏洞

攻击者试图远程利用CPU内核漏洞:英特尔、AMD和ARM均受影响

1月3日,安全研究人员披露了两个安全漏洞——“Meltdown”(熔断)和“Spectre”(幽灵)的细节信息。据悉,这是两种针对CPU的新型攻击方式。这两个漏洞存在于英特尔、AMD和ARM架构的芯片之中,可以被攻击者用于绕过内存隔离机制、访问敏感数据,包括密码、照片、文档以及电子邮件信息等。安全研究人员认为,用不了多久这两个漏洞就会被恶意行为者用于攻击(如果他们尚未利用这些漏洞实施攻击的话)。据悉,受影响的芯片已经运用于数十亿种产品之中,其中包括个人电脑以及智能手机等。此外,研究人员还指出,攻击者也能够利用这些漏洞针对云环境发起攻击。针对这些攻击的最佳保护措施是使用内核页面隔离(KPTI),此外,受影响的供应商也已经开始发布安全补丁和解决方案来应对该安全问题。研究人员表示,虽然主要的攻击媒介是通过本地访问(例
发布时间:2018-01-07 23:45 | 阅读:127482 | 评论:0 | 标签:威胁情报 CPU漏洞 浏览器 漏洞利用 漏洞

360发布CPU漏洞免疫工具

日前,由国外安全机构披露的“Meltdown”(融化)和“Spectre”(幽灵)两组CPU漏洞,引爆了一场安全危机。该漏洞影响全球所有桌面电脑、笔记本和服务器,攻击可以让PC端本应受到保护的信息被外部拦截获取,网民的隐私信息存在被暴露的风险。对此,360安全卫士于昨日紧急推出“CPU漏洞免疫工具”,从漏洞修复及安全防护两方面入手,阻断漏洞入侵通道。该工具可一键检测电脑是否存在漏洞,全方位排查补丁兼容性,并为受到漏洞影响的系统及浏览器推送安全更新,有效免疫CPU漏洞。针对没有补丁的系统,开启360安全卫士能够全面防御攻击,把漏洞风险降到最低。CPU漏洞免疫工具下载地址:http://down.360safe.com/cpuleak_scan.exe这两组漏洞的利用依靠现代CPU普遍使用的推测执行特性(specu
发布时间:2018-01-07 01:10 | 阅读:111139 | 评论:0 | 标签:牛闻牛评 360 CPU漏洞 漏洞

三流黑客即可利用的CPU缓存漏洞 HTML5浏览器全部中招

哥伦比亚大学的四位研究人员认为,可以通过CPU缓存来监视用户在浏览器中进行的快捷键及鼠标操作。该漏洞对最新型号的英特尔CPU有效,比如Core i7。另外,它还需要运行在支持HTML5的浏览器上。总的来看,约有80%的台式机满足这两个条件。哥伦比亚大学的四位研究人员设想了这种攻击:通过恶意网络广告向用户投放JavaScript,然后计算数据到达CPU三级缓存的时间,进而推断用户正在进行的具体操作。研究人员提醒谷歌、微软、火狐、苹果尽快升级自家的浏览器,以封堵该新型攻击向量。不过目前还没有补丁发布。这种攻击方式成本极低,特别适合三流黑客使用。使用这种弹窗攻击方式的人,可能和那些成天张贴网络小广告的是同一拨人,这样他们在烦你的同时还能追踪你。” 研究人员发表的论文中提到,受害者不需要做任何事情,只是访问带
发布时间:2015-04-22 23:25 | 阅读:80240 | 评论:0 | 标签:动态 安全警报 CPU漏洞 HTML5 边信道 漏洞

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云