問題不只是不可能修復處理器和芯片組掩模型只讀存儲器硬編碼的固件錯誤,更令人擔憂的是漏洞允許硬件層級的入侵,從整體上破壞了平臺的信任鏈。
轉自: https://www.dbsec.cn/blog/news.html作者/來源: 安華金和
過去五年的英特爾芯片都包含無法修復的漏洞。比如漏洞 CVE-2019-0090 位於英特爾 CPU 和芯片組子系統 CSME 的掩模型只讀存儲器(mask ROM)中,無法通過更新固件修復。
安全公司 Positive Technologies 的專家稱,問題不只是不可能修復處理器和芯片組掩模型只讀存儲器硬編碼的固件錯誤,更令人擔憂的是漏洞允許硬件層級的入侵,從整體上破壞了平臺的信任鏈。
成功利用該漏洞的攻擊者可以繞過英特爾 EPID 提供的安全保護,讓提取芯片組加密密鑰成為可能。而這個加密密鑰不是平臺特定的,英特爾同一代芯片組都使用相同的單一密鑰。
Positive Technologies 擔心提取出密鑰只是時間問題。一旦密鑰洩露,混亂將會發生,硬件 ID 將能偽造,數字內容將能被提取,硬盤加密的內容將能被解密。
英特爾表示它正在嘗試屏蔽任何可能的利用矢量,但安全研究人員指出芯片巨人目前釋出的補丁只能阻擋其中一種。
更多資訊
研究人員警告 Kilos 正在成為暗網界的谷歌搜索引擎
Kilos 不只是衡量體重的標準,因為某個灰暗的搜索引擎也用了這個名稱。近日,Digital Shadows 在一篇博客文章中指出,該搜索引擎“正在成為互聯網黑幫中的 Google”。據悉,Kilos 似乎從早前的 Grams 搜索引擎演變而來,且其頁面樣式明顯有模仿 Google 的痕跡。
DuckDuckGo 分享追蹤雷達數據庫 致力加強線上隱私保護
DuckDuckGo 致力於提供隱私優先的搜索體驗,近日,其再次升級了隱私保護措施,以努力阻止針對用戶的線上追蹤。這家搜索引擎與瀏覽器技術製造商週四表示,其已分享“追蹤雷達”(Tracker Radar)數據集,其中詳細列出了 1727 家線上追蹤企業和組織所使用的 5326 個互聯網域名。
微軟:99.9% 的被黑賬戶沒有使用多因素身份認證
在上週的 RSA 安全會議上,微軟的工程師稱,他們每個月追蹤的 99.9% 的被攻擊賬戶沒有使用多因素身份驗證,而這種解決方案可以阻止大多數自動賬戶攻擊。
( 信息來源於網絡,安華金和蒐集整理 )
閱讀更多 Linux中國 的文章
