当前位置: 主页 > Linux新闻快讯 >

2018.01.05 开源资讯:研究人员如何发现至今最严重的芯片漏洞

时间:2018-02-12 07:00来源:网络整理 作者:Linux先生 举报 点击:
2018.01.05 开源资讯:研究人员如何发现至今最严重的芯片漏洞

2018.01.05 开源资讯集锦:

研究人员如何发现至今最严重的芯片漏洞

Daniel Gruss 入侵自己的计算机暴露英特尔芯片漏洞那晚几乎无眠。这一漏洞影响芯片巨人自 1995 年以来制造的大部分处理器。31 岁的信息安全研究员和奥地利格拉茨技术大学博士后研究员闯入了自己计算机 CPU 的密室,窃取了其中的秘密。在这之前 Gruss 和同事 Moritz Lipp 以及Michael Schwarz 认为攻击处理器的内核内存只存在理论上的可能。Gruss、Lipp 和 Schwarz 周末在家里工作,彼此交换信息匆忙验证结果,直到确认结果没有错误。他们发现了至今最严重的芯片漏洞。这个影响英特尔芯片的漏洞被命名为 Meltdown。另一个影响英特尔、AMD 和 ARM 的漏洞被命名为 Spectre,Meltdown 最迫切,而 Spectre 的漏洞利用比较困难。格拉茨的团队在去年六月发表了论文,描述 KAISER 或 Kernel Address Isolation to have Side-channels Effectively Removed 的防御 Meltdown 攻击的机制。他们接触了英特尔,才知道其他研究人员也有类似的发现,这些研究员包括 Cyberus Technology 的 Paul Kocher 团队, Google Project Zero 的 Jann Horn,其中 Jann Horn 的工作令 Gruss 印象深刻。

相关:

Meltdown和Spectre两个严重的硬件错误,数十亿设备面临攻击风险 

英特尔发布更新,使电脑免受Metldown 和 Spectre漏洞攻击 

Red Hat公司表示Meltdown和Spectre漏洞可能会影响性能 

完整指南:如何在Windows上修补Metldown 和 Spectre漏洞 

OpenWrt 和 LEDE 项目宣布合并

开源浏览器项目 OpenWrt 和 LEDE ,合并后的项目使用 OpenWrt 的名字,但项目的代码库将是基于 LEDE,OpenWrt CC 15.05 系列以后将只能获得安全更新和 bug 修正。源代码将托管在 git.openwrt.org,会继续与托管在 Github 的镜像同步,原 OpenWrt 代码库已经存档。LEDE 其实是 OpenWrt 的分支,诞生于 2016 年,由 OpenWrt 核心开发者创建,去年两个项目开始商讨合并事宜。

《权力游戏》大结局上映日期延期到 2019 年

HBO 证实,《权力游戏》第八季即最后一季将延期到 2019 年上映,也就是今年将是《权力游戏》系列电视剧播出以来首次没有新剧上映。HBO 没有透露具体的上映日期,只是表示最后一季共有六集。与此同时,原著作者马丁(George R.R. Martin)对粉丝期待已久的《凛冬寒风》(The Winds of Winter)是否能在 HBO 的大结局上映前面世保持沉默。但《冰与火之歌》系列计划中的大结局《春晓的梦想》几乎肯定不太可能在 HBO 公开大结局前出版。

新测量证实臭氧层在恢复

1989 年生效的《蒙特利尔议定书》旨在通过限制氟利昂等化学物质的使用以减少臭氧层损耗,然而将近二十年后,臭氧层的变化很小,难以判断蒙特利尔议定书是否真的产生了效果。但根据发表在《Geophysical Research Letters》期刊上的最新研究,新的测量证实臭氧层在恢复。NASA Goddard 太空飞行中心的研究人员分析了十几年的 Aurora 卫星数据,发现氟利昂的含量在减少臭氧在恢复。数据显示,南极上空的氯含量以每年兆分之 25 的速率在下降,虽然天气驱动的易变性会导致某些年份氯含量会增加。结果是期间臭氧破坏下降了 20%。

华硕将旧路由器变成网状网

华硕的新 AiMesh 系统能连接多个无线路由器,创建一个家用网状网 Wi-Fi 系统。它支持混用不同型号的华硕无线路由器,用旧的无线路由器来扩展 AiMesh 网络。该功能支持的路由器型号包括:RT-AC68RW、RT-AC68UF、RT-AC68R、RT-AC68W、RT-AC1900、RT-AC68U_White、RT-AC68P、RT-AC1900P、RT-AC68U V2、RT-AC68U、RT-AC86U、RT-AC2900、RT-AC88U 和 RT-AC3100。AiMesh 的设置相对简单,主路由器升级到最新固件后建立 Wi-Fi 网络,作为扩展的路由器恢复到出厂设置,用 ASUSWRT 或华硕无线路由器 APP 搜索,然后将扩展路由器作为节点加入到网状网中。

Google 的 Spectre 补丁对性能影响甚微

对于周三披露的 CPU 漏洞 Spectre(Variant 1 和 2)和 Meltdown(Variant 3),Google 官方博客介绍了三个漏洞的修补情况,其中 Spectre Variant 2 可以通过微码更新或软件更新修复,而 Meltdown 则需要给操作系统打补丁,Linux 的补丁是 Kernel Page Table Isolation (KPTI),Windows 和 macOS 也都实现了类似的补丁。Google 称,它开发的二进制修改技术 Retpoline 能有效缓解 Variant 2 的漏洞,而且对性能影响甚微,它与行业合作伙伴分享了该技术,并已经部署在 Google 系统上。它也已经部署了 KPTI。另外,微软也提前释出了补丁,Windows 10 将会自动安装补丁,但旧的系统 Windows 7 或 Windows 8 没有自动更新。macOS 10.13.2 据称也部分修补了 Meltdown 漏洞。

Mark Zuckerberg 的新年挑战是做好 CEO 的工作

扎克伯格 (Mark Zuckerberg) 每年都会宣布一项个人挑战,从只吃自己杀的肉到学习中文。他为 2018 年制定了一个可能是迄今最宏大的目标:化解 Facebook 的困境。扎克伯格其帖子里写道,在推行该公司政策和防止自身工具被滥用方面,Facebook 犯了很多错。扎克伯格表示,像加密技术和加密货币此类颇具前景的工具可有助于消除人们对科技巨头不断壮大影响力的担忧,但这些工具也存在风险,需要深思熟虑。全世界都感到焦虑和分裂,Facebook 有很多工作要做,不论是保护人们的社区不受虐待和仇恨,抵御来自国家政府的干涉,还是确保花在 Facebook 上的时间是值得的。

Chrome 正变成新 IE 6

Chrome 如今是市场占有率最高的浏览器,和以前的 IE 6 统治浏览器市场的情况类似,互联网上也出现了大量专为 Chrome 优化的网站,而 Google 也采用了很多受争议的方法来推广它的浏览器,阻止或限制竞争对手的浏览器访问它的服务。因此 Chrome 被指为是新时代的 IE 6。一位微软开发者在一则已经删除的 Twitter 帖子中认为,Google 阻止竞争对手的行为不是意外,而更像是一种策略。Google 通过它最受欢迎的搜索引擎来推广 Chrome,如果你使用非 Chrome 浏览器访问 Google.com,Google 会多次弹出提示来鼓励用户下载 Chrome,有时候它会在页面的中心区域展示 Chrome 下载广告。微软也使用类似的策略来说服 Windows 10 用户继续使用 Edge。通过推动 Chrome-only 服务,Google 正在忽略它曾经拥抱的开放原则。

10 亿印度个人数据网上只售 8 美元

根据印度媒体报道,10 亿印度个人生物识别数据网上只需要不到 8 美元就能买到。这些数据泄漏自 Aadhaar 数据库,该数据库收集了每一位印度公民的照片、指纹、视网膜扫描和其它身份细节。印度媒体称,同时出售的还有能生成假的 Aadhaar 卡的软件,印度政府提供的许多服务和福利都需要 Aadhaar 卡,包括免费食物和谷物补贴。管理 Aadhaar 系统的 The Unique Identification Authority of India (UIDAI)则声称媒体获得的只是通过提供给政府官员的搜索功能访问到的有限细节,没有指纹或虹膜泄漏。UIDAI 否认有泄漏,声称它的数据是安全的。

栏目分类
推荐内容