作者:Perry?Wang來源:鏈聞Chainnews
據英國金融時報報道,近日,英特爾確認了其處理器芯片中又一個漏洞「Foreshadow」。這是英特爾今年繼1月份發現的Meltdown和Spectre之后第三個重要漏洞。
據了解,該漏洞被兩個團隊分別發現,一個團隊來自比利時魯汶大學,另一個團隊包括美國密歇根大學和澳大利亞阿德萊德大學的專家,可以從CPU上的受保護飛地中竊取秘密,影響了英特爾的SGX技術。
該技術旨在讓計算機上運行的應用程序將最敏感的數據放入虛擬堡壘中。英特爾的SGX技術實際上應該可以防止投機性執行式攻擊。然而,安全研究人員發現了一種繞過安全措施的方法,并在計算機CPU的不受保護的位置創建任何SGX飛地的「影子副本」。然后可以讀取飛地內的數據,使保護無用。
美國政府的計算機應急準備小組在8月14日警告稱,攻擊者可能利用該漏洞獲取敏感信息。利用「預兆」,網絡罪犯可以獲取一個內存芯片內的任意信息,包括敏感數據、通往長期內存的密碼和密鑰,攻擊者還可以將敏感數據在一個安全飛地復制并獲取。
英特爾計劃今年提高芯片價格,部分芯片價格或上漲20%:金色財經消息,英特爾將在今年晚些時候提高其旗艦CPU和各種其他芯片的價格,包括Wi-Fi和其他連接芯片。英特爾已經通知了客戶價格上漲的消息,這可能會導致假期期間更多的PC和筆記本電腦價格上漲。雖然最終定價尚未確定,但一些芯片可能會上漲20%。
英特爾今年早些時候已經警告說,由于通貨膨脹持續,以及材料、運輸和勞動力成本的上升,該公司正在考慮提高某些芯片的價格。“在第一季度財報電話會議上,英特爾表示,由于通脹壓力,它將提高某些業務領域的定價,”英特爾發言人在日經新聞的一份聲明中表示,“公司已經開始通知客戶這些變化。”
6月底,英特爾宣布開始交付專用于挖礦的定制芯片Intel Blockscale ASIC,Argo、GRIID、HIVE等加密貨幣礦企為首批客戶。目前尚不清楚本次漲價是否會影響礦機芯片。(The Verge)[2022/7/16 2:16:56]
不過,專家表示,與一般的漏洞攻擊相比,「Foreshadow」是比較難以利用的。
傳AMD與英特爾已暫停向俄交付產品:2月27日,據俄媒RBC報道,IT市場兩位消息人士向其證實,AMD和英特爾已暫停向俄羅斯交付其產品。其中一位表示,這些公司口頭告訴俄羅斯制造商,AMD 和英特爾的產品暫時不運往俄羅斯,俄羅斯開發商和電子制造商協會人士也予以證實。英特爾駐俄代表處沒有直接回答其是否停止供應處理器的問題,但表示“公司正在密切關注情況并正在執行適用的制裁和出口管制規則”。 (金十)[2022/2/27 10:19:11]
英特爾就相關安全漏洞官方回應鏈聞稱,英特爾和行業合作伙伴們發布了被命名為L1終端故障「簡稱為L1TF」的詳細情況和防御措施。L1TF是一種最近發現的推測執行側信道分析的安全漏洞,會影響一部分支持特爾SGX。英特爾目前還沒有收到這些漏洞被實際攻擊利用的報告,但這進一步突出了全行業均遵循最佳安全實踐的必要性。這些實踐包括:即時更新電腦系統、采取措施以防止惡意軟件等。有關上述實踐的更多信息,可參考美國國土安全部網站。
動態 | 前英特爾CEO擔任區塊鏈芯片公司顧問:據ethereumworldnews消息,前英特爾首席執行官Jackson He加入未來物聯網(IoT)區塊鏈芯片公司Skynet,擔任顧問。[2018/10/27]
另外,科技行業也尚未報告任何利用Spectre、Meltdown或最近發現的Foreshadow漏洞的攻擊。在嘗試武器化漏洞之前,網絡犯罪分子更有可能堅持使用經過驗證的黑客攻擊方法,例如電子郵件網絡釣魚和密碼破解。
目前英特爾推出了新的補丁程序,它將與之前Meltdown和Spectre的更新相結合,以抵御潛在的威脅。微軟也發布了補丁程序以減輕危險。
「一旦系統更新,我們預計運行非虛擬化操作系統的消費者和企業用戶面臨的風險將會很低,」英特爾在一份聲明中表示。「這包括大部分數據中心安裝基礎和絕大多數PC客戶端。在這些情況下,基于我們在測試系統上運行的基準測試,我們沒有看到上述緩解措施帶來的任何有意義的性能影響。」
動態 | 英特爾SGX被突破 部分區塊鏈項目受影響:根據coindesk報道,英特爾芯片SGX部分被發現致命漏洞,研究人員找到一種辦法可以突破保護從而篡改數據。而一些數字貨幣項目已經有意使用該硬件來進行安全防護。不過好消息是研究人員在發現后通知了英特爾,而英特爾已經找到一種解決方案,但升級并未全部完成。比特幣的核心維護者Wladimir van der Laan回應說:“即使比特幣在某種程度上是完美的,但將比特幣的安全性根植于芯片供應商某項技術中也絕不是個好主意。”[2018/8/16]
但是,英特爾警告運行虛擬機的數據中心「防范情況」,云提供商無法保證所有虛擬化操作系統都受到保護。根據Linux供應商RedHat的說法,這可能意味著云提供商需要關閉支持虛擬機的虛擬機管理程序線程,這可能會降低服務器性能。
英特爾已在此發布基準,并為尋求更多信息的客戶提供安全建議。亞馬遜和谷歌等大型云服務提供商表示,他們已經制定了緩解措施,以保護客戶免受威脅。
與此同時,AMD表示該公司的芯片「不易受」Foreshadow漏洞的影響。
大批加密貨幣項目受牽連
由于很多加密貨幣項目計劃采用這一技術,對于加密貨幣世界而言,Foreshadow漏洞是個巨大的威脅。
其中最為引人矚目的是Signal平臺幕后的著名極客MoxieMarlinspike正在發售一種更為節約能源的代幣MobileCoin,甚至為這一項目募集了3,000萬美元。
因為這一漏洞,這些項目在真正落地推出前必須得做出一些修改。
「漏洞的發現對加密貨幣世界有著廣泛沖擊,」康奈爾大學安全研究人員PhilDaian對Coindesk表示。
不過好消息是研究人員遵循安全界「負責任」原則,在公開之前通知了英特爾,讓英特爾幾個月前就部署了安全補丁。不過安全界依然認為做得不夠。
Daian表示:
「因為系統升級很慢,很多補丁涉及到硬件升級升級,基礎設施很長時間面對相關攻擊依然非常脆弱……如果這一漏洞在某一時間點被利用來竊取加密貨幣,一點也不奇怪。」
開發者計劃以MobileCoin取代挖礦,打造一種更為節約能源的加密貨幣。而涉及到SGX技術的加密貨幣項目遠遠不止這一個。
隱私數據存儲計算的去中心化平臺Enigma利用SGX獨特技術來增強智能合約對隱私的保護,Enigma發布了一個利用SGX進行計算的測試網。錢包硬件企業Ledger與英特爾達成盟友關系,探討利用SGX技術存儲私鑰。Golem發布了Graphene-ng以幫助開發人員編寫支持SGX的代碼,OasisLabs則通過從a16z等機構募集了4,500萬美元,用于構建支持SGX的分布式計算平臺。類似的名單還很長。
三大筆記本電腦制造商:惠普、聯想和戴爾都支持SGX。MacBook有了支持SGX的芯片,但BIOS還沒有配置完成,還不能讓操作系統支持該功能。等到有一天蘋果也加入SGX陣營,全球四大筆記本電腦品牌都將內置支持SGX的計算。
「SGX技術需要接受研究人員反復測試和破解,直到它能宣稱達到很高的安全水準,這可能需要耗費數年時間,」Daian表示,不過他補充說,他相信可信的硬件配合SGX技術,有朝一日能為加密貨幣世界作出重要的貢獻。
簡單而言,這需要很長時間。
本文來源于非小號媒體平臺:
Perry
現已在非小號資訊平臺發布1篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/3626980.html
漏洞風險安全
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
下一篇:
文摘|如何避免加密空間中兩個最常見的騙局?
Tags:加密貨幣DOWRESFOR加密貨幣行情英為行情lightshadowchainCryptoXpressbikingforscience翻譯
撰文:RobinGU,就職于X-Order。X-Order是一家嘗試把分布式計算、計算博弈論、人工智能與加密學等跨學術領域相結合以發現未來拓展秩序的創新型研究機構,由NEOGlobalCapit.
1900/1/1 0:00:002018年5月29日,360安全衛士的官方微博發布消息稱:發現EOS主網的一系列高危安全漏洞,其中部分漏洞可以在EOS執行任意代碼,即可以通過遠程攻擊,直接控制和接管EOS上運行的所有節點.
1900/1/1 0:00:00據之前coingeek報道:“澳本聰已經獲得了的原始比特幣白皮書和大部分原始比特幣代碼(0.1版)的美國版權注冊。美國版權局發布的注冊文件承認澳本聰是白皮書和代碼的作者.
1900/1/1 0:00:00安全研究員AnuragSen發現一個公共亞馬遜網絡服務數據庫,其中包含超過4900萬個Instagram賬戶的聯系信息。Facebook是Instagram和大多數其他社交媒體的壟斷所有者.
1900/1/1 0:00:00經安全公司PaloAltoNetworks的調查發現,目前流通中的門羅幣大約有5%都是通過惡意活動被挖出的.
1900/1/1 0:00:00文章來源:慢霧科技作者:慢霧安全團隊 引子 慢霧區前后兩位白帽黑客給我們反饋了這個XSS0day,第一位反饋的很早,但他自己把這個漏洞危害等級定義為低危,我們服務的交易所平臺修復后.
1900/1/1 0:00:00