freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

BUF 早餐铺 | 谷歌的“Spectre攻击”修补方案Retpoline,可避免性能影响 针对韩国...
2018-01-09 06:45:35
所属地 上海

今天是2018年1月9日星期二,今天早餐的主要内容有:谷歌的“Spectre攻击”修补方案Retpoline,可避免性能影响;针对韩国平昌奥运会的钓鱼攻击已经出现;西数“My Cloud”存储设备中被爆出重要漏洞;微软认为比特币不稳定故而叫停交易; 百度涉嫌监听用户电话被起诉。

3b4e5810550c98b6715ed0298d317d5c.jpg

【CPU漏洞专题】

谷歌的“Spectre攻击”修补方案Retpoline,可避免性能影响

15153749407174.png

1 月 5 日,谷歌团队公开一种避免 Spectre 攻击的技巧“Retpoline”,且对性能的影响可以忽略不计。据谷歌团队表示,这是一种避免分支目标注入的二进制修改技巧。利用这种方法任何开发者都可以应用并部署在计算机中,用以防范 Spectre 攻击。

谷歌表示,他们给这个编程技巧,取名为Retpoline,而这种方法对计算机性能的影响“微乎其微”(如果与在过去的几天中发布的其他补丁对CPU性能影响程度进行对比的话)。

修补方案的作者是 Paul Turner,他是谷歌基础设施技术部门的高级工程师。而在谷歌公司内部,他们已经应用这种技巧对私有数据中心的 Linux 服务器进行了安全更新,只造成微小的性能损耗。

具体方案可以查看FreeBuf官方报道文章

【国际时事】

针对韩国平昌奥运会的钓鱼攻击已经出现

15153903252692.jpg

再过一个月,平昌奥运会就要开始了,而黑客们已经针对平昌奥运会进行针对敏感信息和财务信息的鱼叉式网络钓鱼攻击。

来自迈克菲的安全研究人员报告称,黑客已经把目标瞄准了平昌奥运,许多与此次活动相关的组织都收到了钓鱼信息。

大多数被攻击的组织都参与了奥运会,有的是提供了基础设施,有的是担任了活动支持。

电子邮件附件是一个恶意微软Word文档,原文件名为농식품부, 평창 동계올림픽 대비 축산악취 방지대책 관련기관 회의 개최.doc(“由农林部和平昌冬奥会主办”)。

“电子邮件的主要目标是icehockey@pyeongchang2018.com,BCC里还有几个韩国组织。这些组织中的大多数与奥运会有一定的联系,有的是提供了基础设施,有的是担任了活动支持。“

这些攻击行动早在12月22日就已经开始,攻击者假装来自韩国国家反恐中心。

[FreeBuf]

【漏洞攻击】

西数“My Cloud”存储设备中被爆出重要漏洞

western-digital-mycloud.png

安全研究人员在西部数据公司的My Cloud NAS设备中发现了几个严重的漏洞和一个秘密的硬编码的后门,这些漏洞可能让黑客无限制地访问设备。

西部数据的My Cloud(WDMyCloud)是最受欢迎的NAS之一,个人和企业都会用它来托管文件,并自动备份和同步它们与各种云和基于Web的服务。

该设备不仅可以让用户共享家庭网络中的文件,而且私有云功能还允许用户随时随地访问他们的数据。

由于这些设备会连接公网,所以硬编码后门将使用户数据对黑客开放。

[THN]

【安全事件】

微软认为比特币不稳定故而叫停交易

Microsoft-Bitcoin-support-account.png

微软已经停止支持比特币作为微软产品的支付渠道。一位微软工作人员称,此举只是暂时的,原因是比特币现在很不稳定。微软在2014年加入了对比特币的支持,过去曾经短暂停止支持过比特币。这原因与Steam决定在2017年12月初停止支持比特币交易类似。至于停止支持比特币付款的原因,Steam表示是因为其“高昂的费用和波动性”。交易费从几年前的几美分猛增回到几十美元,使得比特币几乎不能用于小型交易,一些用户最终支付的大部分交易总额是交易手续费。

对于像微软和Steam这样的公司来说,比特币的波动性也是一个问题,因为价格下跌可能会带来巨大的损失。

微软不允许用户直接用比特币购买产品,而是要求用户在账户余额中增加预定金额的美元,用比特币支付。

[BleepingComputer]

日本开发新型加密技术 量子计算机也难以破解

f2f143bc09ee951.jpg

据《日本经济新闻》1月8日报道,日本总务省下属的信息通信研究机构开发出了新型加密技术,连新一代超高速计算机——量子计算机也难以破解。该技术的原理是将需要保护的信息转换为特殊的数学问题,可代替通信网等现有加密技术来使用。

这项技术已入选新一代加密技术的国际标准候选方案,将成为物联网(IoT)的基础技术,为保护网上交易等的机密性发挥重要作用。

现有加密技术广泛应用于信用卡数据发送以及护照防伪等领域,通过计算机分解质因数需要花费一定时间的原理来确保安全性。有观点指出,如果擅长质因数分解的量子计算机得以运用,现有加密技术就可能会被轻松破解。

此次开发的新型加密技术可按照一定规律将密码及信用卡号等需要保护的数字转换成其他数字。只要拥有解码“密钥”就能马上解开,但如果第三方通过计算机计算来强行破解密码,只要解不开数学上的难题,就无法破解。

要通过计算来破解密码,即便使用目前性能最高的超级计算机,也至少需要10的50次方年才能解开。预计这项加密技术也能确保足够的安全性来防范量子计算机破解。现有的各种通信系统只需更换软件,就能直接使用这项技术。

[CnBeta]

【国内新闻】

百度涉嫌监听用户电话被起诉

858eae9ae07e478227c0f182801383c9.jpg

2017年12月11日,江苏省消费者权益保护委员会就北京百度网讯科技有限公司涉嫌违法获取消费者个人信息及相关问题提起消费民事公益诉讼。2018年1月2日,南京市中级人民法院已正式立案。

“我有一次跟朋友聊到白蚁,打开某浏览器后,出现了灭白蚁的广告。”南京市的贾先生告诉记者,“还有一次我在某搜索引擎搜索‘怎么开口借钱’,当天就有2家借贷公司给我打电话” 。

这样的经历令贾先生恐惧,他认为自己的个人隐私被泄露了。“这种情况太常见了,我有一次在办公室帮同事借电钻,晚上打开购物软件,第一个推送的就是电钻。”而家住北京朝阳区的孙女士告诉《证券日报》记者,自己早已习惯这样的生活,“网络世界看似隐秘,其实根本没有隐私,基本上就是‘裸奔’的状态。”

根据相关媒体报道,2017年7月份,江苏省消保委曾对市场上用户量较多的27款手机APP进行调查,发现普遍存在侵犯用户个人信息安全的问题。经过约谈,大部分企业提交了实质性整改方案,删除了不必要的监听电话,读取短信等敏感权限。但“手机百度”、“百度浏览器”两款APP迟迟未进行整改。江苏省消保委向北京百度网讯科技有限公司发送调查函,多次催促后对方回复依旧消极。

援引江苏省消保委的消息,“手机百度”“百度浏览器”两款手机APP在消费者安装前,未告知其所获取的各种权限及目的,在未取得用户同意的情况下,获取诸如“监听电话、定位、读取短彩信、读取联系人、修改系统设置”等各种权限。

对此,北京市中同律师事务所合伙人赵铭告诉《证券日报》记者,未经用户同意,获取了“监听电话、定位、读取短彩信、读取联系人、修改系统设置”等权限,是涉嫌侵犯个人隐私的行为,应当承担民事赔偿责任。“司法实践中,根据消费者权益保护法等规定,如果经营者收集、使用消费者个人信息,应当明示收集、使用信息的目的、方式和范围,并需经消费者同意方可。”

[新华网]

# BUF 早餐铺
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者