文章目录

思干豆

Linux 之父恶评 Intel 漏洞修复补丁:完全就是垃圾! 有更新!

Linux Torvalds 认为英特尔在修补 Spectre 上的做法相当糟,采用间接分支限制推测会造成系统性能大幅下滑,因此英特尔不打算启用这项功能,却将责任推诿至他人身上,等于试图将垃圾推给他人。

Intel CPU新漏洞CVE-2018-5407

安全人员近期发现了一个新的因特尔超线程CPU漏洞,是一个非常严重的旁注漏洞。 该漏洞被命名为PortSmash(CVE-2018-5407),现在已被列为与Meltdown和Spectre等漏洞同等级别。 该漏洞使用定时攻击来窃取来自同一CPU核心中运行SMT /超线程的其他进程的信息。利用这种攻击,研究人员能够从与其利用相同的核心运行的OpenSSL线程窃取私有解密密钥。

丽笙集团顾客数据被一锅端,旗下 1100 家酒店一个没跑

2018年11月1日,丽笙酒店集团的丽笙奖励项目(Radisson Rewards)被黑客来了个“七进七出”,发送给受影响顾客的数据安全事故通知显示,大量顾客(未公布具体数字)的个人信息已经惨遭黑手。

丽笙奖励项目会为该酒店集团分布在全球** 1100 多家酒店的顾客提供多项服务和权益**,因此此次数据泄露事件受害者数目必然会相当庞大,绝对是一场无妄之灾。

UWP API 曝严重漏洞,可绕过用户许可窃取任意数据 有更新!

据 cnbeta 报导,相关证据表明 Windows 10 系统中的 UWP API 存在严重的安全漏洞,允许恶意开发人员远程自由遍历用户的磁盘信息,并窃取任意数据。 UWP 是 Win10 通用应用平台(Universal Windows Platform),在 Win10 中,所有设备将会运行在一个统一的 Windows 10 系统核心之上,这样的设计使得一款应用可以在所有 Win10 设备上运行,Win10 手机、平板电脑、笔记本电脑、PC、Xbox,甚至是 3D 全息眼镜 HoloLens、巨屏触控 Surface Hub 和物联网设备例如 Raspberry Pi 2 等都不再有界限。 UWP 由于使用沙盒机制,并且限定在自身路径和特殊文件夹内,因此具备较高的安全系数。不过近期外媒发现 broadFileSystemAccess API 允许开发者访问整个硬盘,而该 API 存在的 BUG 可以在不经用户允许的情况下获得访问磁盘的权限,并且默认授予完整的文件系统访问权限。 不过,在 Windows 10 October 2018 更新中微软已经修复了该问题。

微软再次暴露安全漏洞 加密文件依然会暴露 有更新!

最近哥伦比亚网络安全专家Sebastian Castro近期分享的一份报告中,披露了Windows系统中的“关键”级别漏洞,允许黑客将管理员权限转移给其他账户。该漏洞自Windows XP系统就已经存在,在报告中Castro自己编写了Metasploit模块来测试和演示这个漏洞。 在模块部署完成之后,Castro在Windows XP、Windows Server 2003、Windows 8.1和Windows 10系统上成功进行了测试。此外在报告中他还详细解释了这个漏洞的工作原理,允许黑客将隶属于管理员账号的所有管理员权限附加给来宾账号。 自Windows XP系统以来,Windows系统使用Security Account Manager (SAM)来存储本地用户和内置帐户的安全描述符。正如How Security Principals Work所提及的,每个账号都有一个用于标识它的已分配RID。与域控制器不同,Windows工作站和服务器会将此数据的大部分存储在HKLM \ SAM \ SAM \ Domains \ Account \ Users项中,这需要访问SYSTEM….

Adobe Flash的“中国特供版”,特供的就是用户隐私? 有更新!

虽然 Flash 已经有些过气,越来越多的视频网站开始采用 HTML5,但是对于一些网页广告和页游来说,Flash 还是必不可少的技术。其提供商是大名鼎鼎的 Adobe,最近,Adobe 推出了一款“中国特供版”的 Flash,然而用户发现,这个中国特供版会收集用户隐私,更夸张的是,Adobe 和合作方将其堂而皇之地写在了用户协议里,而中国用户只能用这个特供版,其他版本无法安装。Adobe 作为软件业的明星公司,希望能尽到明星公司的责任吧。这样区别对待的“猫腻”,只会败坏名声。

支付宝检测到部分苹果用户ID被盗,建议调低免密支付额度

昨晚,支付宝官方微博发布关于苹果手机的安全提示,支付宝称检测到部分苹果用户ID被盗,由此带来ID绑定支付工具遭到资金损失,目前苹果公司已回复正在积极解决,支付宝建议苹果用户调低免密支付额度以最大限度保护资产安全。