https://linux.cn/article-11969-1.htmlhtml
过去五年的英特尔芯片都包含没法修复的漏洞。好比漏洞 CVE-2019-0090 位于英特尔 CPU 和芯片组子系统 CSME 的掩模型只读存储器(mask ROM)中,没法经过更新固件修复。linux
安全公司 Positive Technologies 的专家称,问题不仅是不可能修复处理器和芯片组掩模型只读存储器硬编码的固件错误,更使人担心的是漏洞容许硬件层级的入侵,从总体上破坏了平台的信任链。git
成功利用该漏洞的攻击者能够绕过英特尔 EPID 提供的安全保护,让提取芯片组加密密钥成为可能。而这个加密密钥不是平台特定的,英特尔同一代芯片组都使用相同的单一密钥。数据库
Positive Technologies 担忧提取出密钥只是时间问题。一旦密钥泄露,混乱将会发生,硬件 ID 将能伪造,数字内容将能被提取,硬盘加密的内容将能被解密。小程序
英特尔表示它正在尝试屏蔽任何可能的利用矢量,但安全研究人员指出芯片巨人目前释出的补丁只能阻挡其中一种。浏览器
来源:solidot.org安全
更多资讯
研究人员警告 Kilos 正在成为暗网界的谷歌搜索引擎
Kilos 不仅是衡量体重的标准,由于某个灰暗的搜索引擎也用了这个名称。近日,Digital Shadows 在一篇博客文章中指出,该搜索引擎“正在成为互联网黑帮中的 Google”。据悉,Kilos 彷佛从早前的 Grams 搜索引擎演变而来,且其页面样式明显有模仿 Google 的痕迹。网络
来源:cnBeta.COM搜索引擎
DuckDuckGo 分享追踪雷达数据库 致力增强线上隐私保护
DuckDuckGo 致力于提供隐私优先的搜索体验,近日,其再次升级了隐私保护措施,以努力阻止针对用户的线上追踪。这家搜索引擎与浏览器技术制造商周四表示,其已分享“追踪雷达”(Tracker Radar)数据集,其中详细列出了 1727 家线上追踪企业和组织所使用的 5326 个互联网域名。编码
来源:cnBeta.COM
微软:99.9% 的被黑帐户没有使用多因素身份认证
在上周的 RSA 安全会议上,微软的工程师称,他们每一个月追踪的 99.9% 的被攻击帐户没有使用多因素身份验证,而这种解决方案能够阻止大多数自动帐户攻击。
来源:ChinaZ 站长之家
订阅“Linux 中国”官方小程序来查看