過去五年的英特爾晶片都包含無法修復的漏洞

過去五年的英特爾晶片都包含無法修復的漏洞。比如漏洞 CVE-2019-0090 位於英特爾 CPU 和晶片組子系統 CSME 的掩模型只讀儲存器（mask ROM）中，無法通過更新韌體修復。

安全公司 Positive Technologies 的專家稱，問題不只是不可能修復處理器和晶片組掩模型只讀儲存器硬編碼的韌體錯誤，更令人擔憂的是漏洞允許硬體層級的入侵，從整體上破壞了平臺的信任鏈。

成功利用該漏洞的攻擊者可以繞過英特爾 EPID 提供的安全保護，讓提取晶片組加密金鑰成為可能。而這個加密金鑰不是平臺特定的，英特爾同一代晶片組都使用相同的單一金鑰。

Positive Technologies 擔心提取出金鑰只是時間問題。一旦金鑰洩露，混亂將會發生，硬體 ID 將能偽造，數字內容將能被提取，硬碟加密的內容將能被解密。

英特爾表示它正在嘗試遮蔽任何可能的利用向量，但安全研究人員指出晶片巨人目前釋出的補丁只能阻擋其中一種。

來源：solidot.org

更多資訊

研究人員警告 Kilos 正在成為暗網界的谷歌搜尋引擎

Kilos 不只是衡量體重的標準，因為某個灰暗的搜尋引擎也用了這個名稱。近日，Digital Shadows 在一篇部落格文章中指出，該搜尋引擎“正在成為網際網路黑幫中的 Google”。據悉，Kilos 似乎從早前的 Grams 搜尋引擎演變而來，且其頁面樣式明顯有模仿 Google 的痕跡。

來源：cnBeta.COM

DuckDuckGo 分享追蹤雷達資料庫 致力加強線上隱私保護

DuckDuckGo 致力於提供隱私優先的搜尋體驗，近日，其再次升級了隱私保護措施，以努力阻止針對使用者的線上追蹤。這家搜尋引擎與瀏覽器技術製造商週四表示，其已分享“追蹤雷達”（Tracker Radar）資料集，其中詳細列出了 1727 家線上追蹤企業和組織所使用的 5326 個網際網路域名。

來源：cnBeta.COM

微軟：99.9% 的被黑賬戶沒有使用多因素身份認證

在上週的 RSA 安全會議上，微軟的工程師稱，他們每個月追蹤的 99.9% 的被攻擊賬戶沒有使用多因素身份驗證，而這種解決方案可以阻止大多數自動賬戶攻擊。

來源：ChinaZ 站長之家

（資訊來源於網路，安華金和蒐集整理）

訂閱“Linux 中國”官方小程式來檢視