英特爾 CPU SGX 曝出新安全漏洞 Plundervault

科學家披露了名為 Plundervault 的攻擊能讓英特爾 CPU 的 Software Guard Extensions（SGX）洩露金鑰和導致其它錯誤。英特爾已經釋出了微碼更新修復問題，概念驗證攻擊程式碼將釋出在 GitHub 上。晶片巨人稱它的 SGX 作為一個私有區域能將敏感計算和資料與高許可權惡意程式隔離開來。

但電腦科學家發現，CPU 的微妙電壓波動能破壞 SGX 內部的正常功能。通過過壓或欠壓增加或降低輸送到 CPU 的電流，科學家找到了方法誘導 SGX 錯誤洩露金鑰，破壞完整性，潛在誘導記憶體錯誤用於其他型別的攻擊。

雖然漏洞利用需要執行特權程式碼，但它並不依賴於物理訪問，因此有可能用於遠端攻擊。         

來源：solidot.org

更多資訊

公司員工表示 nginx 之父被警方帶走

ZDNet 12 日報導，俄羅斯警方當天突擊搜查了 NGINX 公司（nginx 伺服器專案商業化公司）在莫斯科的辦事處，並帶走了 NGINX 公司聯合創始人 Igor Sysoev 與 Maxim Konovalov，lgor Sysoev 同時也是 nginx 伺服器專案的建立者。

來源：開源中國
詳情連結：https://www.dbsec.cn/blog/article/55.html 

iOS 13.3 螢幕使用時間存漏洞 蘋果將釋出補丁

本週三蘋果推送了 iOS 13.3 正式版，帶來了多項新功能以及錯誤修復和改進，其中螢幕使用時間功能中的家長控制有了更多通訊限制，家長可限制子女通過電話、“FaceTime 通話”或“資訊”聯絡的物件，也可通過子女的聯絡人列表管理顯示在子女裝置上的聯絡人，這對於家長們來說是一項不錯的升級。

來源：威鋒網
詳情連結：https://www.dbsec.cn/blog/article/55.html 

瀏覽器不支援 FTP 後 為舊硬體獲取驅動程式將變得更加困難

外媒 Motherboard 編輯 Ernie Smith 近日試圖為自己的 PCI 轉 SATA 擴充套件卡尋找驅動程式，結果發現這些人畜無害的舊硬體，已經很難再找到合適的驅動下載基地了。其指出，至少有一家大型驅動程式提供商，正在積極刪除它不再支援的舊內容。而那些傳統的 FTP 驅動程式下載站點，很將很快布其後塵。

來源：cnBeta.COM
詳情連結：https://www.dbsec.cn/blog/article/55.html 

黑客攻擊Ring智慧家居裝置並勒索 德州夫婦巧用斷電方案挫敗其陰謀

近日有外媒報導稱，美國德克薩斯州一夫婦家裡的 Ring 智慧家居裝置遭到了黑客攻擊，導致其在半夜被警報給吵醒。經過一番檢查，使用者發現其 Ring 賬戶已被終止，且被攻擊者勒索 50 枚比特幣（市價超 35 萬美元）。由美國廣播公司下屬機構 WFAA 公佈的簡短視訊可知，這對夫婦聽到非法訪問其攝像頭和揚聲器的黑客在遠端譏笑，目前尚不清楚這一威脅的嚴重程度。

來源：cnBeta.COM
詳情連結：https://www.dbsec.cn/blog/article/55.html 

（資訊來源於網路，安華金和蒐集整理）

訂閱“Linux 中國”官方小程式來檢視