美国时间5月14日,安全研究人员在英特尔芯片中发现了一种新的漏洞,如果利用这种漏洞,可以直接从处理器中窃取敏感信息。
英特尔公司发给链闻的声明称:「关于微架构数据采样安全问题,我们近期的很多产品已经在硬件层面得以解决,包括很多第8代和第9代英特尔?酷睿?处理器、以及第2代英特尔?至强?可扩展处理器系列。对其它受影响的产品,用户可以通过微代码更新、并结合今天发布的相应操作系统和虚拟机管理程序的更新获取安全防御。」
原文标题:《英特尔芯片再现ZombieLoad漏洞》文章来源:公众号宅客频道作者:灵火K
还记得2018年初英特尔爆出的严重漏洞「熔断」和「幽灵」吗?它们利用了英特尔处理器中推测执行处理的这一弱点,给黑客进行伪装,过系统的检测,最终达到调取资源的目的。
Meltdown和Spectre都泄露了存储在处理器中的敏感数据,包括密码、密钥和账户令牌等机密信息。现在,之前发现上述两种漏洞的同一拨研究人员再度公布了一轮全新的关于英特尔芯片的数据漏洞。
慢雾:DOD合约中的BUSD代币被非预期取出,主要是DOD低价情况下与合约锁定的BUSD将产生套利空间:据慢雾区情报,2022 年 3 月 10 日, BSC 链上的 DOD 项目中锁定的 BUSD 代币被非预期的取出。慢雾安全团队进行分析原因如下:
1. DOD 项目使用了一种特定的锁仓机制,当 DOD 合约中 BUSD 数量大于 99,999,000 或 DOD 销毁数量超过 99,999,000,000,000 或 DOD 总供应量低于 1,000,000,000 时将触发 DOD 合约解锁,若不满足以上条件,DOD 合约也将在五年后自动解锁。DOD 合约解锁后的情况下,用户向 DOD 合约中转入指定数量的 DOD 代币后将获取该数量 1/10 的 BUSD 代币,即转入的 DOD 代币数量越多获得的 BUSD 也越多。
2. 但由于 DOD 代币价格较低,恶意用户使用了 2.8 个 BNB 即兑换出 99,990,000 个 DOD。
3. 随后从各个池子中闪电贷借出大量的 BUSD 转入 DOD 合约中,以满足合约中 BUSD 数量大于 99,999,000 的解锁条件。
4. 之后只需要调用 DOD 合约中的 swap 函数,将持有的 DOD 代币转入 DOD 合约中,既可取出 1/10 转入数量的 BUSD 代币。
5. 因此 DOD 合约中的 BUSD 代币被非预期的取出。
本次 DOD 合约中的 BUSD 代币被非预期取出的主要原因在于项目方并未考虑到 DOD 低价情况下与合约中锁定的 BUSD 将产生套利空间。慢雾安全团队建议在进行经济模型设计时应充分考虑各方面因素带来的影响。[2022/3/10 13:48:45]
ZombieLoad
分析 | BCH期现价差高 存在套利空间:今日微信公众号拉盘大王发文分析,BCH期现价差高现象,文中指出,临近交割日,BCH期货大概率会上浮,现货下压,使两者价格趋于一致,最终实现平稳交割。所以,期现套利完全是可行的。同时,文中将BCH的分叉定性为利空,BCH当周合约的交割日是在BCH分叉的后一天,目前存在的价差将逐渐抹平,足证明该判断。
投资有风险,入市须谨慎。
本资讯不作为投资理财建议。[2018/11/13]
「ZombieLoad」这个名称原意为「僵尸负载」,漏洞根源在于「预测执行」和「乱序执行」。研究人员表示,「ZombieLoad」将泄漏处理器核心当前加载的所有数据。对此,英特尔回复称,微码的补丁将有助于清除处理器的缓冲区,防止数据被读取。
与之前那的「熔断」和「幽灵」相类似,其也是由芯片设计缺陷导致,是一个针对英特尔芯片的侧信道攻击类型。黑客能够有效地利用该设计缺陷,而不是注入恶意代码。更可怕的是,英特尔表示,「ZombieLoad」实际上由四个漏洞组成,研究人员在一个月前向芯片制造商报告了这些漏洞。
赵东:EOS推迟、延迟上线对EOS乃至数字货币是利好,落地是短期利空:Dfund赵东在微博表示,EOS推迟、延迟上线本身将是对于EOS乃至数字货币的利好,而落地则是短期利空。北京时间昨天早上7点左右EOS主网启动,目前为止,尚未有确切的成功上线的消息或者时间窗口。毫无疑问,虽然我个人对EOS长线并不看好,但我不能不关注,因为不管成功与否,它对数字货币世界意义仍然重大,目前我个人仍然持有部分EOS。[2018/6/4]
实际上,研究人员在一个概念验证视频中表明,可以利用这些漏洞来查看一个人正在实时访问哪些网站,甚至可以很容易地重新利用这些网站来获取用于登录受害者在线的密码或访问令牌账户。
像「Meltdown」和「Spectre」一样,受「ZombieLoad」影响的PC和笔记本电脑其云端也极易受到攻击。「ZombieLoad」可以在虚拟机中触发,并打破虚拟机与其他虚拟系统及其主机设备之间原有的隔离状态。
Pantera Capital :市场已充分反应潜在利空 现在至少是“中期底部”:Bitcoin今日发文援引Pantera Capital Management的补充观点称:比特币现价低于200日均线,这是“罕见的买入信号”。从历史上看,若在比特币价格跌破200日均线的那一天投资100美元,一年后的回报率将达到285%。此外,最近美国证券交易委员会(SEC)的负面消息对市场情绪的影响甚微。事实上,通过在SEC公告之后的24-48小时内市场便开始上行的走势便可表明,市场现在所处的位置已充分反映了所有已知和潜在的利空,现在若不是历史大底,也至少是中期底部。[2018/4/15]
发现了最新一轮芯片缺陷的研究人员之一丹尼尔?格鲁斯(DanielGruss)称,它的工作原理「就像」是在PC上工作,但可以从处理器读取数据的第三方应用程序。这可能是导致云环境中出现安全风险的一个主要问题,这终会导致不同客户的虚拟机在同一服务器硬件上运行。
宅客频道得知,「ZombieLoad」几乎对最早可以追溯到2011年使用英特尔芯片的计算机都会造成影响。另一边,搭载了AMD和ARM芯片的电脑则不会像英特尔那样易受攻击。
漏洞暂无影响,无需恐慌
那么,此次漏洞究竟会对搭载英特尔芯片的电脑设备造成多大影响呢?对此,安全人员回复,我们目前尚未整理出对「ZombieLoad」的详细研究报告,我们不排除有最坏的可能性,但现阶段还没有追踪到具体执行过攻击的痕迹。
「对于大多数人来说,现阶段大可不必恐慌。」
研究人员表明,此次漏洞属性并不是攻击者可以立即接管你计算机的驱动攻击。格鲁斯表示,用「ZombieLoad」执行攻击的门槛较高,通俗来讲它「比幽灵执行起来更容易」,但「比熔断执行起来更难」——即两者都需要一套特定的技能和努力才能真正用于攻击。
安全研究人员展示用ZombieLoad漏洞实时监视用户所浏览的网页
「但是,如果利用代码是在应用程序中编译的,或者是作为恶意软件传递的,攻击者就可以发动攻击,」他补充道。
实际上,要侵入电脑并窃取数据,还有更简单的方法。目前对投机性执行和侧信道攻击的研究仍处于起步阶段,随着更多的发现浮出水面,数据窃取攻击有可能变得更容易利用和更精简。
因此,一旦有与任何漏洞相关的可用补丁,请一定要安装它们。
英特尔:联合厂商推送MCU
英特尔已发布微码更新以修补易受攻击的处理器,这其中包括IntelXeon,IntelBroadwell,SandyBridge,Skylake和Haswell芯片。英特尔KabyLake,CoffeeLake,WhiskeyLake和CascadeLake芯片也受到影响,以及所有Atom和Knights处理器。
与此同时,消费级硬件厂商也在相继发布补丁作为抵御可能攻击的第一道防线。电脑制造商Apple、微软和浏览器制造商谷歌已发布补丁,其他公司预计会跟进。
对英特尔酷睿i9-9900K处理器的影响
据TechCrunch报道,英特尔认为与以前的补丁一样,微代码更新会对处理器性能产生影响。英特尔发言人称,大多数修补后的消费级设备在最坏的情况下可能会受到3%的性能损失,在数据中心环境中则高达9%。但是,这种情况在大多数情况下并不太可能引人注意。
截至目前,英特尔和格鲁斯及其团队都没有发布漏洞利用代码,因此可保证对普通用户没有直接的威胁。
来源链接:mp.weixin.qq.com
本文来源于非小号媒体平台:
链闻速递
现已在非小号资讯平台发布1篇作品,
非小号开放平台欢迎币圈作者入驻
入驻指南:
/apply_guide/
本文网址:
/news/3626567.html
漏洞风险安全
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场
上一篇:
imToken团队:认清及防范四类代币局
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。