处理器芯片漏洞可致隐私泄露和凭证窃取等次生灾害

专题库
韩希宇 来源:中国电子银行网 2018-01-12 09:44:09 芯片漏洞隐私泄露 原创出品

核心提示在这个过程中,攻击者所获取到的数据,将会沉淀出对于关键数据和隐私泄露、登陆凭证被窃取导致连锁攻击等次生灾害。

  国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞219个,互联网上出现“Western Digital My CloudNAS设备命令注入漏洞、PHP Scripts Mall PHPMultivendor Ecommerce SQL注入漏洞(CNVD-2018-00078)”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为高。中国电子银行网为您梳理过去一周的信息安全行业要闻,告警重要漏洞并推出技术观澜,深入探讨信息安全知识。

  一周行业要闻速览

  1.1秒即可完成充电!中国石墨烯技术实现重大突破!

处理器芯片漏洞可致隐私泄露和凭证窃取等次生灾害

  这种新型电池,在零下四五十度的情况下,也能正常工作;即便是被你弯折一万次,其容量也完全保持;而且,就算你把电芯暴露于火焰中也不会起火或爆炸。>>详细

  西部数据My Cloud 私有云被曝存在远程访问后门

处理器芯片漏洞可致隐私泄露和凭证窃取等次生灾害

  近日,外媒曝光了西部数据 My Cloud 设备存在一个严重后门漏洞的消息。别有用心的人们,可以借此获得联网设备的无限制根访问。>>详细

  中美人工智能人才现状与建议

处理器芯片漏洞可致隐私泄露和凭证窃取等次生灾害

  上至国家政府,下至科技巨头和AI创业公司,无不将AI人才视为提升自身的核心竞争力的根本性战略。AI人才在哪里?这就成了战略成败的重中之重。>>详细

  技术观澜

  处理器A级漏洞Meltdown(熔毁)和Spectre(幽灵)分析报告

处理器芯片漏洞可致隐私泄露和凭证窃取等次生灾害

  该漏洞是一个足以动摇全球云计算基础设施根基的漏洞,其意味着任何虚拟机的租户或者入侵了成功一个虚拟机的攻击者,都可以通过相关攻击机制去获取完整的物理机的CPU缓存数据,而这种攻击对现有虚拟化节点的防御机制是无法感知的。>>详细

  全方位解析越狱原理

处理器芯片漏洞可致隐私泄露和凭证窃取等次生灾害

  关于iOS最严重的秘密之一就是它的root密码“alpine”。每个人都知道,苹果也不打算改变它。使用root密码给用户访问设备的核心功能,如果落入不法之徒,这可能是灾难性的。>>详细

  PoS端恶意软件LockPoS携新型代码注入技术强势回归

处理器芯片漏洞可致隐私泄露和凭证窃取等次生灾害

  网络安全公司Cyberbit的研究人员表示,PoS端恶意软件LockPoS已经开始利用新的代码注入技术来危害系统安全。>>详细

  安全威胁播报

  上周漏洞基本情况

  上周(2018年01月01日-2018年01月07日)信息安全漏洞威胁整体评价级别为高。

  国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞219个,其中高危漏洞63个、中危漏洞144个、低危漏洞12个。漏洞平均分值为6.02。上周收录的漏洞中,涉及0day漏洞51个(占23%),其中互联网上出现“Western Digital My CloudNAS设备命令注入漏洞、PHP Scripts Mall PHPMultivendor Ecommerce SQL注入漏洞(CNVD-2018-00078)”等零日代码攻击漏洞。

  上周重要漏洞安全告警

  CPU处理器内核存在Meltdown和Spectre漏洞

  CPU hardware是一套运行在CPU(中央处理器)中用于管理和控制CPU的固件。上周,CPU处理器内核被披露存在Meltdown和Spectre漏洞,攻击者可以绕过内存访问的安全隔离机制,使用恶意程序来获取操作系统和其他程序的被保护数据,造成内存敏感信息泄露。

  CNVD收录的相关漏洞包括:CPU处理器内核存在Spectre漏洞、CPU处理器内核存在Meltdown漏洞、CPU处理器内核存在Meltdown漏洞(CNVD-2018-00304)。目前,厂商尚未发布漏洞修补程序。

  Western Digital产品安全漏洞

  Western Digital MyCloudNAS是一款网络连接存储设备。上周,该产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息、上传任意文件或发起拒绝服务攻击等。

  CNVD收录的相关漏洞包括:WesternDigital My Cloud NAS设备拒绝服务漏洞、Western Digital My CloudNAS设备跨站请求伪造漏洞、Western Digital My Cloud NAS设备命令注入漏洞、WesternDigital My Cloud NAS设备无限制文件上传漏洞、Western Digital My CloudNAS设备信息泄露漏洞、Western Digital My Cloud NAS设备硬编码后门漏洞。上述漏洞的综合评级为“高危”。目前,厂商尚未发布漏洞修补程序。

  Microsoft产品安全漏洞

  Microsoft Windows 10是一套供个人电脑使用的操作系统,Windows Server2016是一套服务器操作系统。Edge是其中的一个系统附带的默认浏览器。上周,上述产品被披露存在远程代码执行漏洞,攻击者可利用漏洞执行任意代码。

  CNVD收录的相关漏洞包括:MicrosoftWindows Edge和Microsoft ChakraCore远程代码执行漏洞、MicrosoftWindows Edge和Microsoft ChakraCore远程代码执行漏洞(CNVD-2018-00324、CNVD-2018-00325、CNVD-2018-00326、CNVD-2018-00327、CNVD-2018-00328、CNVD-2018-00330、CNVD-2018-00331)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

  Apple产品安全漏洞

  Apple macOS High Sierra是美国苹果(Apple)公司为Mac计算机所开发的一套专用操作系统,tvOS是一套智能电视操作系统。watchOS是一套智能手表操作系统,iOS是一套为移动设备所开发的操作系统,上周,上述产品被披露存在内存破坏、越界读取或输入验证漏洞,攻击者可利用漏洞执行任意代等。

  CNVD收录的相关漏洞包括:Apple iOS和macOS HighSierra IOKit组件内存破坏漏洞、Apple macOS High Sierra Intel Graphics Driver内存破坏漏洞、Apple macOSHigh Sierra Intel Graphics Driver越界读取漏洞、Apple macOSHigh Sierra IOKit组件输入验证漏洞、Apple macOS High SierraIOKit组件输入验证漏洞(CNVD-2018-00184)、多款Apple产品Kernel内存破坏漏洞(CNVD-2018-00180、CNVD-2018-00182、CNVD-2018-00183)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

  K7 AntiVirus空指针解引用漏洞

  K7 Antivirus是印度K7 Computing公司的一套反病毒软件。上周,K7 Computing被披露存在空指针解引用漏洞,攻击者可通过发送0x95002570 DeviceIoControl请求利用该漏洞造成拒绝服务(空指针逆向引用)。目前,厂商尚未发布漏洞修补程序。

  小结

  上周,WesternDigital被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息、上传任意文件或发起拒绝服务攻击等。此外,Microsoft、Apple、ImageMagick等多款产品被披露存在多个漏洞,攻击者可利用漏洞上传任意文件、执行任意代码或发起拒绝服务攻击等。另外,K7 Computing被披露存在空指针解引用漏洞,攻击者可通过发送0x95002570 DeviceIoControl请求利用该漏洞造成拒绝服务(空指针逆向引用)。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

  中国电子银行网综合CNVD、cnBeta、今日互联网头条、中国支付清算协会、FreebuF、嘶吼RoarTalk报道  

责任编辑:韩希宇

收藏

  • 最新
  • 最热

    点击加载

      点击加载

      我要评论
      普通评论
      游客

      登录后参与评论

      为你推荐

        暂无相关推荐
        合作媒体

        中国网络电视经济台 | 和讯银行 | 新浪理财 | 凤凰理财 | 腾讯网 | MSN理财 | 网易科技 | 中华财会网 | 第一财经网 | 北京商报网 | 和讯科技 | 财新网 | 中国网理财 | 金融界银行 | 光明网经济 | 东方财富网 | 经济观察网 | 中国经营网 | 赛迪网 | 新华信息化 | 中关村商城 | 同花顺金融服务网 | 环球网财经 | 投资时报 | 钛媒体 | 中国金融新闻网 | 新华网财经 | 人民网金融频道 | 中文互联网数据研究资讯中心 | 中金在线 | 外汇 | 品途网