成人VR应用程序泄露个人信息

在供应商介入并修补安全漏洞之前，有关成人主题的虚拟现实（VR）应用程序中两个漏洞的详细信息已经公布了五天。

数字中断，一家英国的网络安全公司发布的研究显示SinVR，一个以成人为主题的VR应用程序的网络服务，包含两个漏洞，允许攻击者下载网站用户使用PayPal购买物品的用户姓名，电子邮件地址和设备（PC）名称。

供应商对此无任何回应，研究人员将漏洞公之于众

数字中断的研究员在1月10日的博客中说道：“我们最初计划是在漏洞修复后再发布博客，但是经过多次尝试，仍然无法联系上SinVR背后的公司。”

他补充道：“我们试图向所有可以获得的地址发送邮件，将消息发到他们（活跃的）Reddit账户和并通过推特传播。由于所发现问题的性质比较严重，所以我们作出了艰难的决定，将其中的一个问题公布出来，希望引起公众注意，告诉用户他们的数据并没有得到充分保护。”

虽然研究人员没有公布Poc代码，他们分享了经过编辑的截图，这表明一个技术高超的攻击者能够利用该漏洞。

公开披露五天后，漏洞得到修补

公开披露五天后，一些较大的新闻媒体开始相继发布相关新闻，SinVR才修补了服务。

虽然金融机构的数据泄露通常纯属财务影响，但来自成人网站的数据泄露会带来更为深远的后果。

例如，在约会网站Ashley Madison发生2015年的违约事件之后，路易斯安娜州的一位牧师由于在该网站有账户，导致其自杀事件。

数字中断研究人员说，SinVR泄露的信息类型有可能“相当尴尬”，从而导致某些用户存在可能被勒索的可能性。

Bleeping Computer已经联系到SinVR，并正式询问该公司是否检测到任何使用Digital Interruption报告的漏洞的用户从其网站收集客户数据。

更新：SinVR发言人就此事提供以下陈述：

数字中断在公布结果前给我们提供了充分的警告，并且我们收到消息后尽快地修复了漏洞。之后，他们确认漏洞已得到修复。目前，尚未有任何证据表明该漏洞被用于收集客户的数据。总的来说，这是一次非常好的学习经验，且有助于加强我们的安全意识，我们非常感谢数字中断公司的做法。展望未来，我们有信心防范安全漏洞，并将继续使用专业安全服务来审计我们的系统。

来源：BleepingComputer

本文由看雪翻译小组 fyb波编译
＊＊＊

英特尔表示固件修复了影响新版芯片的Spectre 和 Meltdown 漏洞

英特尔公司的一位高管在一篇博客文章中说，英特尔很努力的在修复Spectre和Meltdown CPU漏洞，不过仍然遇到了一些麻烦。

英特尔数据中心执行副总裁兼总经理Navin Shenoy表示：“我们已经为在过去五年内发现的漏洞发布了90％的英特尔CPU固件更新，但我们还有更多的工作要做。”

Shenoy写道，上个星期，运行在比较旧的Broadwell和Haswell芯片上的更新了固件的系统出现了重启问题，而且案例数量呈上升趋势。Shenoy在最新一篇文章中表示，相同的趋势也发生在运行英特尔最新芯片的Skylake和Kaby Lake的产品上。Ivy Bridge 和 Sandy Bridge CPU也是这样的情况。

Shenoy写道：“我们已经在内部重现了这些问题，并且正在尝试找出根本原因。与此同时，我们将在下周向供应商提供beta microcode以供验证。“

英特尔是众多软硬件供应商中的一员，正在努力缓解这些漏洞。虽然这些漏洞是在一月份才被研究人员首次发现，但是在CPU架构中，这些漏洞已经存在了20年。

虽然还没有成功的利用这些漏洞的案例，但由于目前绝大多数计算机都受到了这个漏洞影响，所以这些漏洞被认为是危害性极高。攻击者可以利用这些漏洞攻击一个程序，然后窃取存储在其他程序中的数据，例如密码或机密数据。

Shenoy还透露说，英特尔的固件更新对系统重启问题有一定关系。

英特尔使用双插槽Skylake服务器进行测试，发现性能损失取决于工作负载和配置，他写道：“一般来说，包含大量用户/内核权限切换代码并花费大量的时间在特权模式下执行代码，性能将受到更多的不利影响。”

企业和云客户的常见工作负载可能会受到高达2％的影响。OLTP（online transaction processing）进行基准校验来模拟经纪公司与客户和证券交易所互动场景，结果显示遭受了4％的损失。

英特尔还进行了存储基准测试，发现性能损失最高可达25％，具体取决于实际情况。

英特尔这次面临的固件更新困难并不意外。最近一些安全专家告诉Threatpost，降低漏洞带来的影响将会是一个漫长的过程。他们说，在这两个漏洞之间，Spectre更难被利用，不过也更难以修补。

原文链接：https://threatpost.com/intel-says-firmware-fixes-for-spectre-and-meltdown-affecting-newer-chips/129512/
本文由看雪翻译小组 knowit 编译

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)