稳定版内核维护者 Greg Kroah-Hartman 在欧洲开源峰会上发表主题演讲时指出,英特尔芯片的安全问题将会存在很长时间。这些被称为 MDS、RDDL、Fallout 和 Zombieland 的芯片漏洞从某种程度上说都是相同的问题或者说是相同问题的不同变种,但解决方法各不相同。
举例来说,RIDL 和 Zombieload 漏洞能跨应用程序、虚拟机和安全区域窃取数据,讽刺的是英特尔软件防护扩展(SGX)在芯片内本是保护数据安全的,结果本身却有很多漏洞。
Kroah-Hartman 称为了修复每一个曝出的问题,你必须同时给 Linux 内核、CPU BIOS 和微码打上补丁。这不只是 Linux 的问题,任何操作系统都面临相同的问题。
他承认 OpenBSD 给出了解决此类漏洞的最近解决方案:关闭英特尔处理器的超线程,克服带来的性能损失。Kroah-Hartman 称,你必须选择性能还是安全,而这里不存在好的选择。
来源:solidot.org
更多资讯
无法删除的恶意软件 xHelper 持续感染大量安卓设备
过去几个月来,一些安卓用户被一款名为 xHelper 的恶意软件持续困扰,它的自动重新安装机制令人们束手无策。xHelper 最早发现于 3 月。到 8 月,它逐渐感染了 32,000 多台设备。而截至本月,根据赛门铁克的数据,感染总量已达到 45,000。该恶意软件的感染轨迹不断上升。赛门铁克表示,xHelper 每天平均造成 131 名新受害者,每月约有 2400 名新的受害者。
来源:开源中国
详情链接:https://www.dbsec.cn/blog/article/5321.html
印度核电站遭遇网络攻击
印度古丹库兰邦核电站遭遇了网络攻击。攻击被认为没有影响到反应堆控制,其目的不是破坏核电站而是窃取情报,收集相关的研究和技术情报。
来源:solidot.org
详情链接:https://www.dbsec.cn/blog/article/5323.html
Gitlab 要求在产品中收集用户行为数据 遭遇强烈吐槽后撤回
上周 Gitlab 给所有用户发送题为《关于服务协议以及用户行为数据收集重要通知》的邮件。Gitlab 希望借此来收集来自 Gitlab 产品中的用户使用习惯。但作为独立部署的产品,此举遭到来自社区开发者的强烈抗议。
来源:开源中国
详情链接:https://www.dbsec.cn/blog/article/5324.html
11 月新规施行:网络平台泄露用户信息 500 条以上可入罪
网络平台泄露用户信息 500 条以上可入罪、“傍名牌”等行为将受严惩、冥币禁止“高仿”人民币……11 月起,一批法律法规开始施行,让你我的生活更安心。 网络平台致使个人信息泄密,能否承担刑事责任?《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》,自 11 月 1 日起施行,对拒不履行信息网络安全管理义务罪的前提要件和入罪标准等作出明确规定。
来源:新华网
详情链接:https://www.dbsec.cn/blog/article/5325.html
(信息来源于网络,安华金和搜集整理)