BUF 早餐铺 | 英特尔固件更新后,Broadwell和Haswell CPU出现重启问题 ;联想发现并移除网络交换机中的后门;微信张小龙:微信不看聊天记录 – 作者:Sphinx

今天是1月16日星期二,今天早餐的主要内容有:英特尔固件更新后,Broadwell和Haswell CPU出现重启问题;联想发现并移除网络交换机中的后门;2017年 Facebook共支付88万美元漏洞奖金;艳照门第四名嫌犯落网:承认入侵250多个明星 iCloud 账号,窃取私密照片;“微信之父”张小龙:微信不看聊天记录。

l-absence-petit-dejeuner-augmente-risque-atherosclerose_width1024.jpg

【漏洞攻击】

英特尔固件更新后,Broadwell和Haswell CPU出现重启问题

上周四,英特尔发表了“补丁对性能影响的测试结果”,力证 Meltdown 和 Spectre 漏洞影响的芯片在打上补丁后性能不会受到太大影响。而上周五,英特尔也承认其正在调查 Broadwell 和 Haswell CPU 的问题,因为客户在安装固件更新以修复 Spectre 漏洞时出很多系统重启的情况,这些系统主要包括家用电脑和数据中心服务器。

15159938594247.png

英特尔数据中心集团执行副总裁兼总经理 Navin Shenoy 说:

我们正在与相关用户快马加鞭地合作,以便尽快了解、诊断并解决这一重启问题。如果需要英特尔修改固件更新,我们将通过正常渠道发布更新。我们也正在与数据中心用户直接合作,讨论这个问题。

英特尔高层表示,用户不必因为这些问题而灰心丧气,应当继续安装操作系统制造商和 OEM 厂商发布的更新。

虽然 Shenoy 尚未说清楚重启率重启率较高的是哪些系统,但基本可以确定是Linux系统,因为英特尔周四针对 Linux 系统推出了 CPU 微码更新,以应对 Spectre 漏洞。

上周五,AMD 也宣布将发布针对 Spectre 的微代码更新。周五之前,Windows 的相关更新导致 BSOD 错误,AMD 的客户也表示打上 AMD 公司的 Meltdown 和 Spectre 补丁后也遇到了问题。当时,微软立刻暂停推出更新并进行调查。而 AMD 表示,只有 AMD Opteron、Athlon 和 AMD Turion X2 Ultra 系列受到影响。

[FreeBuf]

联想发现并移除网络交换机中的后门

Lenovo.png

联想工程师在RackSwitch和BladeCenter网络交换机的固件中发现了后门。公司本周早些时候发布了固件更新。

这家中国公司表示,在收购其他公司之后,对产品的固件进行了内部安全审计,发现了后门。

联想表示,后门只影响运行ENOS(企业网络操作系统)的RackSwitch和BladeCenter交换机。

Nortel的Blade Server Switch Business Unit (BSSBU)维护ENOS时,被加入了后门。

即使在2010年IBM收购BNT之后,后门也保留在代码中。2014年,联想收购了IBM的BNT产品线。

[BleepingComputer]

2017年 Facebook共支付88万美元漏洞奖金

102002782-facebook-xlarge_trans_NvBQzQNjv4BqhasgUMiR-rxiRxu9qBoVLQpcDfsC-seRM-lm2nZ7XJA.jpg

Facebook在2017年收到了12,000多个漏洞提交,最终为安全研究人员支付了88万美元的漏洞赏金。

然而,在收到的大量漏洞中,仅有超过400份的报告被认定为有效。去年,Facebook还曾向提交研究人员支付了更多的奖金,平均每件提交的报酬从2016年的1,675美元增加到近1900美元。

Facebook产品安全团队的安全工程师Jack Whitton在一篇博客文章中解释说,参与该公司的bug奖励计划的安全研究人员数量也有所增加。 2017年收到奖励的研究人员中,有32%是在2017年首次提交的。

公司迄今为止支付的最大奖金是ImageTragick,一个由ImageMagick图像处理套件引入的远程代码执行漏洞的40,000美元奖励。

[SecurityWeek]

艳照门第四名嫌犯落网:承认入侵250多个明星 iCloud 账号,窃取私密照片

the-fappening.jpg

Fappening事件的第四名黑客乔治·加罗法诺(George Garofano)(26岁)被指控侵入250多个名人的苹果iCloud账户。

加罗法诺被联邦调查局逮捕,联邦法院指控他违反“计算机欺诈和滥用法案”。

从2013年4月到2014年10月,Garofano利用网络钓鱼攻击受害者,获取他们的iCloud帐户密码,访问帐户并窃取个人信息,包括私人照片和视频。

“根据认罪协议,从2013年4月到2014年10月,Garofano进行了网络钓鱼攻击,获取iCloud账户的用户名和密码。 Garofano承认,他向受害者发送了电子邮件,这些电子邮件来自苹果公司的安全账户,他让受害者向他发送用户名和密码,或者在第三方网站上输入。

加罗法诺还把偷来的证件以及他从被害人帐户上偷走的信息与其他人交换。

[SecurityAffairs]

【国内新闻】

盗取价值百万比特币 海淀一公司管理员被刑拘

309fe32cc394f36_size121_w900_h506.jpg

近日,北京海淀警方破获一起破坏计算机信息系统案。嫌疑人仲某利用自己管理员的权限,修改公司电脑内应用程序,盗取100个比特币,价值数百万元。还未来得及销赃,仲某便被警方抓获。目前,仲某因涉嫌破坏计算机信息系统罪被刑事拘留。

去年9月25日晚,海淀分局西三旗派出所接到辖区某科技公司报警,称公司计算机信息系统被破坏,100个比特币被盗,价值数百万人民币。警方经技术勘察发现,虽然嫌疑人进行远程操作侵入该公司账户,但通过该系统的初级防护却是利用公司的密码进入的,可见嫌疑人应该是公司内部人员。经工作,确定公司管理员仲某有重大嫌疑。

2018年1月2日凌晨,警方将仲某传唤至派出所。经审讯,仲某交代称,自己是公司的管理员,知道在国外有比特币交易,很值钱,就想着赚点钱。其在利用管理员权进入公司数据库后,又破解了公司存储比特币的账户密码,盗窃公司100个比特币。

民警介绍,盗取比特币后,仲某本想转到国外的网站卖掉,由于不知道哪个网站可以操作,上网搜到一个“比特币钱包”的应用,把盗取的100个比特币存进去,听说还有个“核心钱包”,可以把盗取的轨迹清除掉,又挪掉10个比特币存入。经民警工作,仲某将剩余的90个比特币退回给公司,而存入到“核心钱包”内的10个比特币已找不回来。

目前,嫌疑人仲某因涉嫌破坏计算机信息系统罪已被海淀警方刑事拘留,此案正在进一步审理中。

[新京报]

“微信之父”张小龙:微信不看聊天记录

641.jpg

腾讯集团高级执行副总裁、人称“微信之父”的张小龙15日在广州的2018微信公开课PRO版上说,微信的目标是做互联网上最好的工具;微信不会去看聊天记录;微信公众号APP将发布,赞赏功能也将恢复;2018年微信将进一步探索线下生活。

“对微信来说,我们遵循尊重用户、尊重个人的理念。”张小龙说,这意味着微信把用户当朋友,意味着必须给用户提供最好的产品和服务,也意味着不会去看用户的聊天记录等,“从微信第一个版本开始,系统就是这样设计的”。

对于一些人质疑的“微信连聊天记录的云端同步能力都做不到”。张小龙说,从保护用户隐私角度说,系统里面没有用户聊天记录是最安全的,微信不会有侵犯用户隐私行为,包括从来不给用户发骚扰信息等。

[新华网]

来源:freebuf.com 2018-01-16 06:47:38 by: Sphinx

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论