英特尔芯片又现漏洞：数学运算单元可泄露密钥

英特尔Core及Xeon处理器上的安全漏洞可被利用来盗取芯片上数学处理单元中的敏感数据。恶意软件或恶意用户能利用该设计缺陷偷取其他软件在芯片上执行的计算输入或计算结果。利用存储在FPU寄存器中运算输入数据和结果数据，攻击者可推算出用于保护系统中数据的加密密钥。比如说，英特尔的AES加解密指令就用FPU寄存器存放密钥。简言之，该安全漏洞可用于在特定情况下抽取或猜出其他程序中的加密密钥。

详文阅读：

http://www.aqniu.com/threat-alert/35007.html

谷歌智能设备被指泄露用户的精确位置信息

谷歌 Home 和 Chromecast 设备遭受新型攻击，可导致用户精确的物理位置信息遭暴露。研究员发现的这种问题和物联网设备常遇到的两种问题有关：很少使用本地网络上接收到的认证连接以及频繁使用 HTTP 进行配置或控制。由于这些设计缺陷，网站有时候能和网络设备进行交互。

详文阅读：

http://codesafe.cn/index.php?r=news/detail&id=4243


安全: D-Link 路由器和调制解调器漏洞正被大规模利用

安全研究人员报告，恶意攻击者正在大规模利用 D-Link 路由器和调制解调器的一个已知漏洞，创建 Satori 物联网僵尸网络。Satori 将公开的 Mirai IoT 僵尸网络源代码作为基础，然后不断更新加入更多漏洞利用代码。它已经从 Mirai 的变种演化成一个规模庞大的新僵尸网络。过去几天， Satori 开始大规模利用 D-Link DSL-2750B 设备的一个高危漏洞，该远程代码执行漏洞已有两年历史，漏洞利用代码上个月公开。漏洞是在 2016 年披露的，但 D-Link 没有释出修复补丁，DSL-2750B 型号的最新固件还是在 2015 年发布的。

详文阅读：

https://www.solidot.org/story?sid=56926

Furbo 宠物智能喂食器可导致用户被窥视的漏洞分析

TL;DR缺乏足够的访问控制和授权，API中使用可预测的设备ID，以及密码重置机制的缺陷，都可能使Furbo所有用户的视频、家庭私密照片、语音消息被攻击者访问，攻击者甚至可以把食物扔给用户的宠物。

详文阅读：

https://www.anquanke.com/post/id/148499

思科安全更新修复NX-OS软件中的5个严重漏洞

思科最近发布了针对超过30个漏洞的补丁，漏洞包括5个严重任意代码执行漏洞，影响的范围包括NX-OS软件中的NX-API功能

以及FXOS和NX-OS软件中的服务组件。漏洞可以由无权限的攻击者轻易执行，攻击者可以触发缓冲区溢出，以root身份执行恶意代码，进而导致DoS攻击或者读取敏感的内存内容。

详文阅读：

https://securityaffairs.co/wordpress/73777/security/nx-os-software-flaws.html