-
-
[资讯](1.20) 成人VR应用程序泄露个人信息;英特尔表示固件修复了影响新版芯片的Spectre 和 Meltdown 漏洞
-
发表于: 2018-1-20 10:43 2457
-
成人VR应用程序泄露个人信息
在供应商介入并修补安全漏洞之前,有关成人主题的虚拟现实(VR)应用程序中两个漏洞的详细信息已经公布了五天。
数字中断,一家英国的网络安全公司发布的研究显示SinVR,一个以成人为主题的VR应用程序的网络服务,包含两个漏洞,允许攻击者下载网站用户使用PayPal购买物品的用户姓名,电子邮件地址和设备(PC)名称。
供应商对此无任何回应,研究人员将漏洞公之于众
数字中断的研究员在1月10日的博客中说道:“我们最初计划是在漏洞修复后再发布博客,但是经过多次尝试,仍然无法联系上SinVR背后的公司。”
他补充道:“我们试图向所有可以获得的地址发送邮件,将消息发到他们(活跃的)Reddit账户和并通过推特传播。由于所发现问题的性质比较严重,所以我们作出了艰难的决定,将其中的一个问题公布出来,希望引起公众注意,告诉用户他们的数据并没有得到充分保护。”
虽然研究人员没有公布Poc代码,他们分享了经过编辑的截图,这表明一个技术高超的攻击者能够利用该漏洞。
公开披露五天后,漏洞得到修补
公开披露五天后,一些较大的新闻媒体开始相继发布相关新闻,SinVR才修补了服务。
虽然金融机构的数据泄露通常纯属财务影响,但来自成人网站的数据泄露会带来更为深远的后果。
例如,在约会网站Ashley Madison发生2015年的违约事件之后,路易斯安娜州的一位牧师由于在该网站有账户,导致其自杀事件。
数字中断研究人员说,SinVR泄露的信息类型有可能“相当尴尬”,从而导致某些用户存在可能被勒索的可能性。
Bleeping Computer已经联系到SinVR,并正式询问该公司是否检测到任何使用Digital Interruption报告的漏洞的用户从其网站收集客户数据。
更新:SinVR发言人就此事提供以下陈述:
数字中断在公布结果前给我们提供了充分的警告,并且我们收到消息后尽快地修复了漏洞。之后,他们确认漏洞已得到修复。目前,尚未有任何证据表明该漏洞被用于收集客户的数据。总的来说,这是一次非常好的学习经验,且有助于加强我们的安全意识,我们非常感谢数字中断公司的做法。展望未来,我们有信心防范安全漏洞,并将继续使用专业安全服务来审计我们的系统。
本文由看雪翻译小组 fyb波编译
***
英特尔表示固件修复了影响新版芯片的Spectre 和 Meltdown 漏洞
英特尔公司的一位高管在一篇博客文章中说,英特尔很努力的在修复Spectre和Meltdown CPU漏洞,不过仍然遇到了一些麻烦。
英特尔数据中心执行副总裁兼总经理Navin Shenoy表示:“我们已经为在过去五年内发现的漏洞发布了90%的英特尔CPU固件更新,但我们还有更多的工作要做。”
Shenoy写道,上个星期,运行在比较旧的Broadwell和Haswell芯片上的更新了固件的系统出现了重启问题,而且案例数量呈上升趋势。Shenoy在最新一篇文章中表示,相同的趋势也发生在运行英特尔最新芯片的Skylake和Kaby Lake的产品上。Ivy Bridge 和 Sandy Bridge CPU也是这样的情况。
Shenoy写道:“我们已经在内部重现了这些问题,并且正在尝试找出根本原因。与此同时,我们将在下周向供应商提供beta microcode以供验证。“
英特尔是众多软硬件供应商中的一员,正在努力缓解这些漏洞。虽然这些漏洞是在一月份才被研究人员首次发现,但是在CPU架构中,这些漏洞已经存在了20年。
虽然还没有成功的利用这些漏洞的案例,但由于目前绝大多数计算机都受到了这个漏洞影响,所以这些漏洞被认为是危害性极高。攻击者可以利用这些漏洞攻击一个程序,然后窃取存储在其他程序中的数据,例如密码或机密数据。
Shenoy还透露说,英特尔的固件更新对系统重启问题有一定关系。
英特尔使用双插槽Skylake服务器进行测试,发现性能损失取决于工作负载和配置,他写道:“一般来说,包含大量用户/内核权限切换代码并花费大量的时间在特权模式下执行代码,性能将受到更多的不利影响。”
企业和云客户的常见工作负载可能会受到高达2%的影响。OLTP(online transaction processing)进行基准校验来模拟经纪公司与客户和证券交易所互动场景,结果显示遭受了4%的损失。
英特尔还进行了存储基准测试,发现性能损失最高可达25%,具体取决于实际情况。
英特尔这次面临的固件更新困难并不意外。最近一些安全专家告诉Threatpost,降低漏洞带来的影响将会是一个漫长的过程。他们说,在这两个漏洞之间,Spectre更难被利用,不过也更难以修补。
原文链接:https://threatpost.com/intel-says-firmware-fixes-for-spectre-and-meltdown-affecting-newer-chips/129512/
本文由看雪翻译小组 knowit 编译
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
赞赏
- [话题] 9月10日 教师节到了,说说你记忆深刻的老师 4500
- [原创] 我和程序猿男朋友的爱恨情仇【结帖】 8624
- [推荐]看雪杯AFSRC造洞节,最棒的福利送给看雪的你! 6426
- [注意]某白帽未授权渗透测试政府网站被抓 8497
- [分享] 本周 安全类会议 大汇总 4657