青莲晚报（第七十七期）| 物联网安全多知道

英特尔处理器又曝两个 SGX 新漏洞攻击者可轻松提取敏感数据

正在英特尔努力消除多个处理器漏洞造成的负面影响的时候，三所大学的安全研究人员再次无情地曝光了 SGX 软件防护扩展指令的另外两个缺陷。对于攻击者来说，这可以让他们相当轻松地提取敏感数据。庆幸的是，新问题可通过积极的补救措施得到修复，且当前尚无新漏洞已在野外被利用的相关证据。

来自美国密歇根、荷兰阿姆斯特丹、以及澳大利亚阿德莱德三所大学的研究人员披露 —— 攻击者可利用多核体系架构的工作方式，来获得对受感染系统上敏感数据的访问权限。

其已经为两个漏洞开发了对应的攻击方法，并给出了 SGAxe 和 CrossTalk 的概念证明。

前者似乎是今年早些时候曝光的 CacheOut 攻击的高级版本，黑客可从 CPU 的 L1 缓存中提取内容。

详文阅读：

http://hackernews.cc/archives/31070

Linux 再次严辞拒绝 Intel CPU 漏洞补丁

近日，Linux 内核项目负责人 Linus Torvalds 拒绝了 AWS 工程师提交的一个补丁，该补丁的目的是减轻 Intel CPU 遭遇一种新型窥探攻击而导致数据泄露的风险。

这种新型攻击名为“探听辅助 L1 数据采样攻击”，简称 Snoop （CVE-2020-0550）。今年 3 月，来自 AWS 的软件工程师 Pawel Wieczorkiewicz 率先发现了 Intel 处理器的这一漏洞，它可能会泄露 CPU 内部存储器或缓存中的数据，涉及 CPU 包括 Intel 旗下流行的 Xeon 和 Core 系列处理器。Pawel 迅速向 Intel 报告了此问题，随后该漏洞被 Intel 定位为中等严重性漏洞。

新的 Snoop 攻击利用了 Intel CPU 多级缓存、缓存一致性和总线监听等特性，通过位于 CPU 内核中的一级数据缓存（L1D），通过“总线监听”（bus snooping）功能 —— 在 L1D 中修改数据时发生的缓存更新操作，将数据从 CPU 中泄漏出来。

详文阅读：

http://hackernews.cc/archives/30974

央视曝光APP偷窥乱象，“隐私记录功能”或将在手机操作系统中推广

在前一段时间央视新闻曝光的手机APP“偷窥”乱象调查，有APP十几分钟内访问照片和文件两万多次，涉及移动教学软件“优学院”、办公软件“TIM”等多款产品。

中国信通院泰尔终端实验室信息安全部主任宁华在接受澎湃新闻记者采访中表示，一直以来，中国信通院都高度重视用户个人信息保护工作，在2019年年底开展的“App侵害用户权益行为专项整治行动”中，重点整治了“权限不给不让用”、“违规收集、使用用户个人信息”等8类问题。截至2020年5月，已对国内应用商店上架的4万余款App进行了技术检测和监督检查，公开通报72款App，下架3款App。

一是私自收集个人信息；

二是频繁申请权限；

三是强制用户使用定向推送；

四是频繁自启动及链式启动等。

随着App侵害用户权益整治工作的不断深入，用户权益保护意识也在不断加强，与此同时，综合治理难度也在提升。

详文阅读：http://www.youxia.org/2020/06/52161.html

NVIDIA显卡驱动曝出多安全漏洞，部分Windows和Linux设备受到影响

上周，科技巨头Nvidia发布了Nvidia GPU Display Driver中的多个安全漏洞的安全更新。这10个安全漏洞的CVSS 评分在5.5到7.8之间，影响的设备包括Windows和Linux机器。

漏洞影响Windows和 Linux vGPU客户驱动软件，包括Citrix Hypervisor、VMware vSphere、Red Hat Enterprise Linux with KVM和Nutanix AHV。

详文阅读：

https://www.4hou.com/posts/g66r

D-Link路由器曝多个安全漏洞