篮球巨星系统txt www.dqcfb.icu 今天英特爾公開披露了Spectre漏洞的新變體Lazy State,將會影響其旗下的多款處理器產品。
據悉,這一最新的Intel CPU漏洞——“Lazy FP state restore(Lazy FP狀態保存/恢復)”,是被來自Amazon德國公司的Julian Stecklina、Cyberus Technology公司的Thomas Prescher,以及SYSGO AG公司的Zdenek Sojka共同發現的。
理論上來說,不管你使用的是什么操作系統,利用這一最新的CPU漏洞都可以通過計算機從你的程序中(包括加密軟件)提取數據。

15289471837369 英特爾公布Spectre漏洞新變體Lazy State

Red Hat計算機架構師Jon Masters在接受訪問時解釋稱,
CVE-2018-3665,也被稱為Lazy FP狀態保存/恢復,是另一個推測執行漏洞,影響了一些常用的現代微處理器。它類似于之前的‘Specter’變種3-a。需要特別指出的是,該漏洞不會影響AMD處理器。
Red Hat是以Red Hat Enterprise Linux(RHEL)操作系統聞名的頂級開源軟件公司,為諸多重要IT技術如操作系統、存儲、中間件、虛擬化和云計算提供關鍵任務的軟件與服務。
據研究人員介紹稱,存在這種漏洞的原因在于現代CPU中包含很多寄存器(內部存儲器),來代表每個正在運行的應用程序的狀態。從一個應用程序切換到另一個應用程序時,保存和恢復這種狀態需要花費時間。為了實現性能優化,這一過程可能會以“Lazy”的方式完成,而正是這種旨在方便用戶的操作,卻淪為了攻擊切入口。

也就是說,如果操作系統在上下文切換時,使用了 CPU 的 Lazy FP 功能進行系統狀態的保存與恢復,攻擊者可以利用CPU的預測執行功能獲取其他進程在寄存器中保存的數據。
對于一些操作系統而言,修復程序已經包含其中。例如,Red Hat Enterprise Linux(RHEL)7已經在所有最新實現“XSAVEOPT”擴展的x86-64微處理器(大約2012年和更晚版本)上自動默認使用 Eager FP 取代 Lazy FP。因此,大多數RHEL 7用戶將不需要采取任何糾正措施,但是,RHEL 5、6版本的用戶則需要對其服務器進行修復。

其他被認為是安全的操作系統還包括,使用2016年發布的Linux 4.9或更新內核的任何Linux版本。目前,Linux內核開發人員正在修補較早版本的內核;大多數Windows版本(包括Server 2016和Windows 10)也都被認為是安全的。但是,如果您仍在使用Windows Server 2008,那么你將需要補丁程序來修復該漏洞;最新版本的OpenBSD和DragonflyBSD同樣是免疫的,此外,FreeBSD中也有一個可用的補丁程序。

好消息是,這個漏洞影響有限,因為盡管該漏洞十分嚴重,但是利用起來比較困難,而且修復起來比較容易。更好的消息是,修復該漏洞的程序不會像以前一樣影響設備性能,反而會提升設備性能。
不過,盡管它不是一個很可怕的安全漏洞,但它仍然是一個現實存在的安全問題,如果您的系統不能對該漏洞免疫,請盡管進行修復。最后,值得一提的是,與以前的CPU安全漏洞不同,緩解該安全漏洞并不需要微碼更新。

5 月下旬,有安全研究人員發現谷歌 Chrome 中存在嚴重漏洞,影響所有主要操作系統(包括 Windows,Mac 和 Linux)的網頁瀏覽軟件。
在沒有透露有關該漏洞任何技術細節的情況下,Chrome安全團隊在本周三(6月6日)發布的一篇博客文章中指出,該漏洞被追蹤為CVE-2018-6148,是由于瀏覽器錯誤處理CSP響應頭導致的。
CSP,英文全稱Content Security Policy,指的是內容安全策略。

Telspace Systems 公司的研究員發現微軟的 Windows JScript 組件存在重要漏洞,可導致遠程攻擊者在用戶電腦上執行惡意代碼。
由于該漏洞影響 JScript 組件(微軟自定義的 JavaScript 執行),唯一的條件就是攻擊者必須誘騙用戶訪問一個惡意網頁或者在系統上下載并打開惡意 JS 文件(一般經由 Windows Script Host-wscript.exe 執行)。

微軟最近宣布了一項政策更新,將限制在Office 365中使用Flash,Shockwave和Silverlight控件。正如微軟Office安全工程團隊經理Tom Gallagher所指出的那樣,這些內容將被阻止在Office中激活。 具體來說,這位軟件巨頭表示,由于Flash,Shockwave和Silverlight仍被用于針對Office用戶的漏洞活動,同時這些控件的用戶群正在縮小,因此將實施限制。

2018年5月9日Google發布了Chrome 66穩定版維護更新,最新版本號為v66.0.3359.170,目前已經面向Linux、Mac和Windows三大平臺開放,重點修復了一些非常嚴重的安全問題。Google Chrome 66.0.3359.170版本目前共修復了4個安全漏洞,包含能夠從沙盒中逃逸的高危漏洞、一個在擴展程序的提權漏洞、一個在V8 JavaScript引擎中類型混亂問題以及PDF查看器PDFium中的堆緩沖區溢出問題。

Linux 發行系統 Debian 和 Ubuntu 中預裝的 beep 包存在競爭條件漏洞,黑客可利用這個漏洞探測到計算機中的文件(包括 root 用戶的機密文件)。
這個漏洞的編號是 CVE-2018-0492,已在 Debian 和 Ubuntu (基于 Debian 的操作系統)最新版本中修復。

近期,巴西網站 Mac Magazine 曝光了 Siri 的一個隱私 bug,“即 iPhone 處于鎖屏狀態下喚出 Siri,Siri 竟然能夠在未解鎖的前提下,直接讀出收到消息的通知詳情?!?br /> 我們知道,為了避免被別人偷窺隱私,從iOS 11開始,用戶可以將鎖屏上的消息通知設置為隱藏,也就是說可以看到已經收到消息,但其內容已被隱藏。

無憂主機小編相信大多數的站長朋友在初期建站都是會選擇php虛擬主機的,因為成本低,并且還滿足部分的需求,當然您的是大站點的話,就當無憂主機小編的這句話沒有說過,畢竟空間是站點起始必選的。那么無憂主機小編相信很多的站長朋友玩過的都是知道的,也是一個我們一個比較不爽的特點,就是我們無法控制到php.ini文件,但是有一個特點是什么呢?當我們之間訪問某一個php文件的時候,比如wordpress程序,直接去訪問它的模板文件,那么這個時候就會導致報錯,那么這個報錯會直接暴露整個路徑出來,這樣會導致很多不安全的因素,但是還是會有那么一點點的危險,所以為了解決這個問題無憂主機小編的的招數也是比較麻煩,但是比較實用的,下面就來給站長朋友們講解一下吧。

今年1月份,Windows10在修復Intel Meltdown、Spectre安全漏洞時引入了一項新的安全策略,使得安裝不兼容的殺毒軟件的電腦無法獲得系統更新。
微軟解釋說,Windows安全更新后,部分安全軟件會導致兼容性問題,因為它們向內核內存發出的請求是非法的。
微軟此舉當然是為了確保Windows 10安全更新的可靠性,避免意外錯誤,比如此前Windows 10秋季創意者更新升級的時候,不少用戶升級失敗,很大程度上都是安全軟件惹的禍。

思科 Talos 研究員近期披露了在 Adobe Acrobat Reader DC 中的遠程代碼執行漏洞,該漏洞可能在惡意文件打開或受害者訪問特定的網頁時觸發。

Adobe Acrobat Reader是最流行和功能最豐富的PDF閱讀器。它擁有龐大的用戶群,通常是系統中的默認PDF閱讀器,并作為用于呈現PDF的插件集成到Web瀏覽器中。因此,欺騙用戶訪問惡意網頁或發送特制電子郵件附件足以觸發此漏洞。

翻頁 下一頁