成人VR應用程式洩露個人資訊
在供應商介入並修補安全漏洞之前,有關成人主題的虛擬現實(VR)應用程式中兩個漏洞的詳細資訊已經公佈了五天。
數字中斷,一家英國的網路安全公司釋出的研究顯示SinVR,一個以成人為主題的VR應用程式的網路服務,包含兩個漏洞,允許攻擊者下載網站使用者使用PayPal購買物品的使用者姓名,電子郵件地址和裝置(PC)名稱。
供應商對此無任何回應,研究人員將漏洞公之於眾
數字中斷的研究員在1月10日的部落格中說道:“我們最初計劃是在漏洞修復後再發布部落格,但是經過多次嘗試,仍然無法聯絡上SinVR背後的公司。”
他補充道:“我們試圖向所有可以獲得的地址傳送郵件,將訊息發到他們(活躍的)Reddit賬戶和並透過推特傳播。由於所發現問題的性質比較嚴重,所以我們作出了艱難的決定,將其中的一個問題公佈出來,希望引起公眾注意,告訴使用者他們的資料並沒有得到充分保護。”
雖然研究人員沒有公佈Poc程式碼,他們分享了經過編輯的截圖,這表明一個技術高超的攻擊者能夠利用該漏洞。
公開披露五天後,漏洞得到修補
公開披露五天後,一些較大的新聞媒體開始相繼釋出相關新聞,SinVR才修補了服務。
雖然金融機構的資料洩露通常純屬財務影響,但來自成人網站的資料洩露會帶來更為深遠的後果。
例如,在約會網站Ashley Madison發生2015年的違約事件之後,路易斯安娜州的一位牧師由於在該網站有賬戶,導致其自殺事件。
數字中斷研究人員說,SinVR洩露的資訊型別有可能“相當尷尬”,從而導致某些使用者存在可能被勒索的可能性。
Bleeping Computer已經聯絡到SinVR,並正式詢問該公司是否檢測到任何使用Digital Interruption報告的漏洞的使用者從其網站收集客戶資料。
更新:SinVR發言人就此事提供以下陳述:
數字中斷在公佈結果前給我們提供了充分的警告,並且我們收到訊息後儘快地修復了漏洞。之後,他們確認漏洞已得到修復。目前,尚未有任何證據表明該漏洞被用於收集客戶的資料。總的來說,這是一次非常好的學習經驗,且有助於加強我們的安全意識,我們非常感謝數字中斷公司的做法。展望未來,我們有信心防範安全漏洞,並將繼續使用專業安全服務來審計我們的系統。
來源:BleepingComputer
本文由看雪翻譯小組 fyb波編譯
***
英特爾表示韌體修復了影響新版晶片的Spectre 和 Meltdown 漏洞
英特爾公司的一位高管在一篇部落格文章中說,英特爾很努力的在修復Spectre和Meltdown CPU漏洞,不過仍然遇到了一些麻煩。
英特爾資料中心執行副總裁兼總經理Navin Shenoy表示:“我們已經為在過去五年內發現的漏洞釋出了90%的英特爾CPU韌體更新,但我們還有更多的工作要做。”
Shenoy寫道,上個星期,執行在比較舊的Broadwell和Haswell晶片上的更新了韌體的系統出現了重啟問題,而且案例數量呈上升趨勢。Shenoy在最新一篇文章中表示,相同的趨勢也發生在執行英特爾最新晶片的Skylake和Kaby Lake的產品上。Ivy Bridge 和 Sandy Bridge CPU也是這樣的情況。
Shenoy寫道:“我們已經在內部重現了這些問題,並且正在嘗試找出根本原因。與此同時,我們將在下週向供應商提供beta microcode以供驗證。“
英特爾是眾多軟硬體供應商中的一員,正在努力緩解這些漏洞。雖然這些漏洞是在一月份才被研究人員首次發現,但是在CPU架構中,這些漏洞已經存在了20年。
雖然還沒有成功的利用這些漏洞的案例,但由於目前絕大多數計算機都受到了這個漏洞影響,所以這些漏洞被認為是危害性極高。攻擊者可以利用這些漏洞攻擊一個程式,然後竊取儲存在其他程式中的資料,例如密碼或機密資料。
Shenoy還透露說,英特爾的韌體更新對系統重啟問題有一定關係。
英特爾使用雙插槽Skylake伺服器進行測試,發現效能損失取決於工作負載和配置,他寫道:“一般來說,包含大量使用者/核心許可權切換程式碼並花費大量的時間在特權模式下執行程式碼,效能將受到更多的不利影響。”
企業和雲客戶的常見工作負載可能會受到高達2%的影響。OLTP(online transaction processing)進行基準校驗來模擬經紀公司與客戶和證券交易所互動場景,結果顯示遭受了4%的損失。
英特爾還進行了儲存基準測試,發現效能損失最高可達25%,具體取決於實際情況。
英特爾這次面臨的韌體更新困難並不意外。最近一些安全專家告訴Threatpost,降低漏洞帶來的影響將會是一個漫長的過程。他們說,在這兩個漏洞之間,Spectre更難被利用,不過也更難以修補。
原文連結:https://threatpost.com/intel-says-firmware-fixes-for-spectre-and-meltdown-affecting-newer-chips/129512/
本文由看雪翻譯小組 knowit 編譯