[資訊](1.20) 成人VR應用程式洩露個人資訊;英特爾表示韌體修復了影響新版晶片的Spectre 和 Meltdown 漏洞
成人VR應用程式洩露個人資訊
在供應商介入並修補安全漏洞之前,有關成人主題的虛擬現實(VR)應用程式中兩個漏洞的詳細資訊已經公佈了五天。
數字中斷,一家英國的網路安全公司釋出的研究顯示SinVR,一個以成人為主題的VR應用程式的網路服務,包含兩個漏洞,允許攻擊者下載網站使用者使用PayPal購買物品的使用者姓名,電子郵件地址和裝置(PC)名稱。
供應商對此無任何回應,研究人員將漏洞公之於眾
數字中斷的研究員在1月10日的部落格中說道:“我們最初計劃是在漏洞修復後再發布部落格,但是經過多次嘗試,仍然無法聯絡上SinVR背後的公司。”
他補充道:“我們試圖向所有可以獲得的地址傳送郵件,將訊息發到他們(活躍的)Reddit賬戶和並通過推特傳播。由於所發現問題的性質比較嚴重,所以我們作出了艱難的決定,將其中的一個問題公佈出來,希望引起公眾注意,告訴使用者他們的資料並沒有得到充分保護。”
雖然研究人員沒有公佈Poc程式碼,他們分享了經過編輯的截圖,這表明一個技術高超的攻擊者能夠利用該漏洞。
公開披露五天後,漏洞得到修補
公開披露五天後,一些較大的新聞媒體開始相繼釋出相關新聞,SinVR才修補了服務。
雖然金融機構的資料洩露通常純屬財務影響,但來自成人網站的資料洩露會帶來更為深遠的後果。
例如,在約會網站Ashley Madison發生2015年的違約事件之後,路易斯安娜州的一位牧師由於在該網站有賬戶,導致其自殺事件。
數字中斷研究人員說,SinVR洩露的資訊型別有可能“相當尷尬”,從而導致某些使用者存在可能被勒索的可能性。
Bleeping Computer已經聯絡到SinVR,並正式詢問該公司是否檢測到任何使用Digital Interruption報告的漏洞的使用者從其網站收集客戶資料。
更新:SinVR發言人就此事提供以下陳述:
數字中斷在公佈結果前給我們提供了充分的警告,並且我們收到訊息後儘快地修復了漏洞。之後,他們確認漏洞已得到修復。目前,尚未有任何證據表明該漏洞被用於收集客戶的資料。總的來說,這是一次非常好的學習經驗,且有助於加強我們的安全意識,我們非常感謝數字中斷公司的做法。展望未來,我們有信心防範安全漏洞,並將繼續使用專業安全服務來審計我們的系統。
本文由看雪翻譯小組 fyb波編譯
***
英特爾表示韌體修復了影響新版晶片的Spectre 和 Meltdown 漏洞
英特爾公司的一位高管在一篇部落格文章中說,英特爾很努力的在修復Spectre和Meltdown CPU漏洞,不過仍然遇到了一些麻煩。
英特爾資料中心執行副總裁兼總經理Navin Shenoy表示:“我們已經為在過去五年內發現的漏洞釋出了90%的英特爾CPU韌體更新,但我們還有更多的工作要做。”
Shenoy寫道,上個星期,執行在比較舊的Broadwell和Haswell晶片上的更新了韌體的系統出現了重啟問題,而且案例數量呈上升趨勢。Shenoy在最新一篇文章中表示,相同的趨勢也發生在執行英特爾最新晶片的Skylake和Kaby Lake的產品上。Ivy Bridge 和 Sandy Bridge CPU也是這樣的情況。
Shenoy寫道:“我們已經在內部重現了這些問題,並且正在嘗試找出根本原因。與此同時,我們將在下週向供應商提供beta microcode以供驗證。“
英特爾是眾多軟硬體供應商中的一員,正在努力緩解這些漏洞。雖然這些漏洞是在一月份才被研究人員首次發現,但是在CPU架構中,這些漏洞已經存在了20年。
雖然還沒有成功的利用這些漏洞的案例,但由於目前絕大多數計算機都受到了這個漏洞影響,所以這些漏洞被認為是危害性極高。攻擊者可以利用這些漏洞攻擊一個程式,然後竊取儲存在其他程式中的資料,例如密碼或機密資料。
Shenoy還透露說,英特爾的韌體更新對系統重啟問題有一定關係。
英特爾使用雙插槽Skylake伺服器進行測試,發現效能損失取決於工作負載和配置,他寫道:“一般來說,包含大量使用者/核心許可權切換程式碼並花費大量的時間在特權模式下執行程式碼,效能將受到更多的不利影響。”
企業和雲客戶的常見工作負載可能會受到高達2%的影響。OLTP(online transaction processing)進行基準校驗來模擬經紀公司與客戶和證券交易所互動場景,結果顯示遭受了4%的損失。
英特爾還進行了儲存基準測試,發現效能損失最高可達25%,具體取決於實際情況。
英特爾這次面臨的韌體更新困難並不意外。最近一些安全專家告訴Threatpost,降低漏洞帶來的影響將會是一個漫長的過程。他們說,在這兩個漏洞之間,Spectre更難被利用,不過也更難以修補。
原文連結:https://threatpost.com/intel-says-firmware-fixes-for-spectre-and-meltdown-affecting-newer-chips/129512/
本文由看雪翻譯小組 knowit 編譯
相關文章
- [資訊](11.24)英特爾修復了影響數百萬 PC 和伺服器的 CPU 漏洞伺服器
- 漏洞利用之資訊洩露
- 谷歌改口,將修復地理位置資訊洩露問題谷歌
- 微軟修復一個 AMD Spectre Variant 2 漏洞,多款處理器受影響微軟
- Meltdown與Spectre:近期CPU特性漏洞安全公告
- 擔心個人資訊被洩露?App違法違規收集使用個人資訊專項治理來了!APP
- 資訊洩露、DNS快取中毒!版本低於4.3的NicheStack受高嚴重安全漏洞影響DNS快取
- JS敏感資訊洩露:不容忽視的WEB漏洞JSWeb
- 安全研究人員發現中國網貸App漏洞洩露大量個人資訊APP
- 微軟谷歌發現新的晶片漏洞 英特爾和AMD等受影響微軟谷歌晶片
- 網際網路時代,如何防止個人資訊洩露
- 資訊洩露之web原始碼洩露Web原始碼
- 英特爾釋出新微程式碼 有望修復部分晶片“ 幽靈 ”漏洞晶片
- Spectre同型別漏洞NetCAT來襲,可導致英特爾CPU私密資料洩露型別
- APP資料洩露漏洞該如何修復和加固APP
- [資訊](12.8)Google 修復了影響 Pixel、Nexus 手機的致命加密 Bug;虛擬鍵盤APP 超過3千萬使用者記錄洩露Go加密APP
- 曝部分省市社儲存安全漏洞 數千萬個人資訊或遭洩露
- [資訊](1.6)安卓釋出公告,修復多處關鍵漏洞;美國國土安全部資料遭洩露安卓
- GHOST漏洞可能影響WordPress和PHP應用PHP
- 個人資訊頻繁被洩露 販賣、非法蒐集如何破解
- Android應用開發allowBackup敏感資訊洩露的一點反思Android
- 英特爾存在無法修補漏洞;新版個人資訊保安規範正式釋出;新冠疫情打擊手機產業鏈產業
- CVE-2016-0059 IE資訊洩露漏洞分析
- 網站安全之使用者資訊洩露漏洞案例分享網站
- 超四成網站存安全漏洞 或致55億條個人資訊存洩露風險網站
- 1500項iOS應用存在漏洞 高度敏感資訊洩漏iOS
- DNS域傳送資訊洩露DNS
- 【轉】Android應用開發allowBackup敏感資訊洩露的一點反思Android
- 瀏覽網站擔心個人資訊被洩露怎麼辦?網站
- 醫療行業資訊保安敲警鐘,黑客攻擊或致大量公民個人資訊洩露行業黑客
- 網路黑灰產業已近千億 個人資訊洩露是源頭產業
- 美國一資料庫洩露 近2億選民個人資訊曝光資料庫
- 2018年近50億條個人資訊被洩露 內部漏洞遠高於黑客攻擊黑客
- 所有支援狀態Windows 10獲更新:緩解Spectre漏洞影響Windows
- Google+再曝漏洞!5250萬使用者資訊恐洩露Go
- MongoDB 伺服器漏洞洩露加密貨幣 Bezop 使用者資訊MongoDB伺服器加密
- 後端開發都應該瞭解的資訊洩露風險後端
- [資訊]微軟於補丁日修復了 20 個嚴重漏洞(11.16)微軟