BUF早餐铺 | AMD发布针对Spectre v2漏洞的最新补丁;扎克伯格听证会承认数据被卖给第三方;主流Web浏览器将迎来全新标准

2018-04-13 67809人围观 ,发现 2 个不明物体 资讯

各位Buffer早上好,今天是2018年4月13日星期五,农历二月廿八。今天的早餐铺内容主要有:AMD发布针对Spectre v2漏洞的最新补丁;扎克伯格听证会承认有数据被卖给恶意第三方;主流Web浏览器将迎来全新标准;2011年以来移动钓鱼攻击增长率平均每年达到85%;容器安全公司StqckRox获得2500万美元融资。

安全资讯早知道,两分钟听完最新安全快讯~

1.jpg

【数据安全】

扎克伯格听证会承认数据贩卖,并承诺FB永远有免费版本

Facebook公司CEO马克·扎克伯格在周二下午出席了美国国会参议院举行的听证会之后,在美国当地时间周三(4月11日)上午(北京时间4月11日晚10点)到美国众议院能源和商业委员会出席相关听证会。扎克伯格承认,有数据被卖给了有恶意的第三方,并表示,Facebook将对所有能够获取数据的应用进行审查。

针对参议员们的质询,扎克伯格对Facebook缺乏监管承担了个人责任,不仅限于“剑桥分析”用户数据泄露事件,也包括2016年美国总统选举时俄罗斯的干扰。他在听证会上说,“是我的错,我很抱歉。”

2.jpg

据悉,当被问及Facebook是否永久对用户免费时,扎克伯格称“永远会有免费的Facebook版本(供用户使用)。”

对此,外界认为扎克伯格实际上是给Facebook未来向用户收费留下了余地,并没有完全排除向用户付费的可能性,即一部分Facebook的服务和功能依然对用户免费,是免费的Facebook版本,另一部分功能或服务会相应收费。

在听证会结束之前,公众和危机公关专家都对扎克伯格的回应和表达给予了较高评价,Facebook的股价截至4月10日收盘上涨了4.5%。[来源:sohu]

【系统安全】

AMD发布针对Spectre v2漏洞的最新补丁 

AMD在最新通报中指出,对于Spectre v2,AMD处理器用户应尽快将Windows或Linux升级为最新版本,并升级来自OEM和主板厂商的微代码更新(也就是刷BIOS)。早前Linux系统的Spectre v2漏洞补丁已经放出,而针对Windows 10最新版本(Version 1709秋季创意者更新版)的补丁也已于今日全面推送。

这场处理器漏洞危机中,相比于Intel,其实AMD的处理器受到的冲击小的多。据悉,其中一个主要原因是,AMD处理器因架构设计不同,因此对Meltdown漏洞完全免疫。而Spectre漏洞此前已通过系统和软件更新进行妥善修复。

spectre.v2.png

此外,AMD仍在准备上个月发布的RyzenFall、MasterKey、Fallout和Chimera漏洞的补丁,据悉这几个漏洞的威胁相比Meltdown及Spectre小的多,修复难度也较低。[来源:bleepingcomputer]

【Web安全】

安全性升级,主流Web浏览器将迎来全新标准

谷歌,微软和Mozilla的网络浏览器很快将为用户提供由FIDO联盟和万维网联盟(W3C)构建的新的无密码认证标准,目前正处于最终审批阶段。

W3C已将新的认证标准WebAuthn推进到候选推荐标准(CR)阶段,这是最终批准Web标准之前的最后一步。预计将为全球用户提供更强大的Web身份验证,它已经在Windows,Mac,Linux,Chrome OS和Android平台上实施。

ьотрапива.jpg

W3C的WebAuthn API为每个站点提供强大的,唯一的基于公钥的证书,从而消除了一个站点上的密码被盗用在另一个站点上的风险。

该联盟表示,它很快将推出互用性测试,并计划为服务器,客户端和认证机构颁发符合FIDO2规范的认证。[来源:FreeBuf]

【终端安全】

2011年以来移动钓鱼攻击增长率平均每年达到85%

据移动安全公司Lookout报道,自2011年以来,用户在移动设备上接收和点击钓鱼网址的速度每年平均增长85%。该公司表示,更令人担忧的是,56%的用户收到并点击了绕过现有防护层的钓鱼网址。平均到个人,移动设备用户每年每人会点击六次钓鱼网址。

15196316616052.png

在分析移动网络钓鱼的现状的最新报告(PDF)中提到,攻击者已可以成功规避现有的网络钓鱼保护机制以瞄准移动设备,不法分子正以惊人的速度暴露敏感数据和个人信息。首次在移动设备上打开的电子邮件超过66%,并且电子邮件已经是钓鱼攻击的首要攻击点之一,移动设备上未受保护的电子邮件可能成为网络钓鱼最重要的攻击面。

此外,某些App在代码库中包含URL进行实时通信或获取信息,此举可能同样会导致遭受钓鱼攻击,企业应小心会访问恶意URL的“良性App”。

广告是App的主要盈利手段之一,为此,他们将广告SDK整合到代码中,这些SDK连接到URL向用户投放广告。如果“良性App”使用由攻击者运行的广告SDK,那么攻击者可能会使用SDK访问恶意URL,点击之后就会暴露用户的个人隐私。

[来源:securityweek]

【行业动态】

容器安全公司StqckRox获得2500万美元融资

容器安全公司StackRox本周宣布,其在B轮融资中获得了2,500万美元的资金,该公司迄今融资的总额已超过了3,900万美元。

此次融资由Redpoint Ventures领投,Sequoia Capital和Amplify Partners参与。据悉,本轮融资主要将用于加速产品开发及支持公司营运计划,包括招募新的营销和销售主管。

1.jpg

StackRox公司位于加利福尼亚州的山景城,专注于为企业提供运行在Docker和Kubernetes等容器上云程序的安全服务。 该公司的旗舰产品StackRox Detect and Respond旨在监控程序运行时的活动动态,侦测可能的攻击面并消除威胁。

StackRox公司表示,现已在解决方案中增加了性能测试与检测功能。[来源:securityweek]

【国内资讯】

上海某区块链峰会被紧急叫停

今日上海某金融科技与区块链峰会,临时遭到当地警方的突击检查,会议被紧急叫停,现场所有相关人员已被清场。

2.jpg

有传言称,峰会被叫停是因为有投资者因投资参会的ICO项目而损失惨重,所以举报大会维权。

对此,主办方回应称,叫停的原因只说了有安全隐患,会议具体的叫停原因他们也正在调查。关于会议的解决问题,会商量出一个方案,是改期或者别的方案,具体需要参会者等通知。

同时,该主办方在回应中强调,他们的会议是正规的,没有演讲项目涉及法律问题。[来源:Biannews]

*本文由Akane整理编译,转载请注明来自FreeBuf.COM

发表评论

已有 2 条评论

取消
Loading...
css.php