您没有来错地!为了更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 资讯 安全报 查看内容

英特尔为新幽灵变种发现者支付100000美元奖金

2018-7-13 01:11| 投稿: xiaotiger |来自: 互联网

摘要: 安全研究人员Kiriansky 发现了“幽灵”攻击的新变种,英特尔通过公司的漏洞赏金计划从英特尔获得了10万美元。新缺陷是幽灵变异体1 (CVE-2017-5753)的变种,它们被追踪为幽灵1.1 (CVE-2018-3693)和幽灵1.2。这些问题 ...

安全研究人员Kiriansky 发现了“幽灵”攻击的新变种,英特尔通过公司的漏洞赏金计划从英特尔获得了10万美元。

新缺陷是幽灵变异体1 (CVE-2017-5753)的变种,它们被追踪为幽灵1.1 (CVE-2018-3693)和幽灵1.2。这些问题中比较严重的是幽灵1.1,关于它的描述是边界检查旁路存储(BCBS)问题。“就像经典的缓冲区溢出一样,推测性的越界存储可以修改数据和代码指针。数据值攻击可以直接或通过重定向控制流来绕过某些Spectre-v1缓解。控制流攻击允许任意推测性代码执行,这可以绕过围栏指令和所有其他软件缓解以用于先前的推测执行攻击。构建可用于构建替代攻击有效负载的重新定向编程(ROP) gadget很容易。”另外专家表示,幽灵1.2会影响未能强制执行读/写保护的CPU,允许攻击者覆盖只读数据和代码指针,以破坏沙箱。

各大公司对此回应的表达虽有差异,但核心思想基本一致。英特尔和ARM都发布了描述新漏洞的白皮书。微软周二还更新了其Spectre / Meltdown公告,以包含有关CVE-2018-3693的信息,并表示:“我们目前尚未发现我们的软件中存在BCBS的任何情况,但我们正在继续研究这个漏洞类别,并将与行业合作伙伴合作,根据实际需要发布缓解措施。”

甲骨文还在评估这些漏洞对其产品的影响,并承诺提供技术缓解措施。甲骨文安全保障总监Eric Maurice指出,“请注意,许多行业专家预计,在可预见的未来,利用现代处理器设计中的这些已知缺陷的许多新漏洞将继续被披露。这些问题可能主要影响操作系统和虚拟化平台,可能需要软件更新,微代码更新或两者兼而有之。幸运的是,这些问题的利用条件仍然相似:恶意利用要求攻击者首先获得安装和执行针对目标系统的恶意代码所需的权限。”

本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。


小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6577133015493771790/

免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部