作者:Perry?Wang來源:鏈聞Chainnews
據英國金融時報報道,近日,英特爾確認了其處理器芯片中又一個漏洞「Foreshadow」。這是英特爾今年繼1月份發現的Meltdown和Spectre之后第三個重要漏洞。
據了解,該漏洞被兩個團隊分別發現,一個團隊來自比利時魯汶大學,另一個團隊包括美國密歇根大學和澳大利亞阿德萊德大學的專家,可以從CPU上的受保護飛地中竊取秘密,影響了英特爾的SGX技術。
該技術旨在讓計算機上運行的應用程序將最敏感的數據放入虛擬堡壘中。英特爾的SGX技術實際上應該可以防止投機性執行式攻擊。然而,安全研究人員發現了一種繞過安全措施的方法,并在計算機CPU的不受保護的位置創建任何SGX飛地的「影子副本」。然后可以讀取飛地內的數據,使保護無用。
美國政府的計算機應急準備小組在8月14日警告稱,攻擊者可能利用該漏洞獲取敏感信息。利用「預兆」,網絡罪犯可以獲取一個內存芯片內的任意信息,包括敏感數據、通往長期內存的密碼和密鑰,攻擊者還可以將敏感數據在一個安全飛地復制并獲取。
英特爾銳炫獨顯A380確認暫不支持挖礦:7月21日消息,英特爾銳炫Arc獨立顯卡A380已開始在國內上架銷售,該卡暫不支持挖礦。YouTube主播DJ Mines通過在嘗試了 NiceHashMining、trex miner、lolminer、teamreeminer之后確認,目前似乎還沒有任何以太坊挖礦程序支持英特爾銳炫獨顯。據悉,目前英特爾銳炫桌面顯卡包括 A770、A750、A580、A380和A310。目前只有A380一款進行了售賣。(IT之家)[2022/7/21 2:28:43]
不過,專家表示,與一般的漏洞攻擊相比,「Foreshadow」是比較難以利用的。
英特爾就相關安全漏洞官方回應鏈聞稱,英特爾和行業合作伙伴們發布了被命名為L1終端故障「簡稱為L1TF」的詳細情況和防御措施。L1TF是一種最近發現的推測執行側信道分析的安全漏洞,會影響一部分支持特爾SGX。英特爾目前還沒有收到這些漏洞被實際攻擊利用的報告,但這進一步突出了全行業均遵循最佳安全實踐的必要性。這些實踐包括:即時更新電腦系統、采取措施以防止惡意軟件等。有關上述實踐的更多信息,可參考美國國土安全部網站。
Bitcoin Magazine:新的英特爾比特幣礦機比ASIC成本低一半,效率高15%:金色財經報道,Bitcoin Magazine發推稱,新的英特爾比特幣礦機比競爭對手ASIC成本低一半,效率高15%。[2022/2/28 12:29:41]
另外,科技行業也尚未報告任何利用Spectre、Meltdown或最近發現的Foreshadow漏洞的攻擊。在嘗試武器化漏洞之前,網絡犯罪分子更有可能堅持使用經過驗證的黑客攻擊方法,例如電子郵件網絡釣魚和密碼破解。
目前英特爾推出了新的補丁程序,它將與之前Meltdown和Spectre的更新相結合,以抵御潛在的威脅。微軟也發布了補丁程序以減輕危險。
「一旦系統更新,我們預計運行非虛擬化操作系統的消費者和企業用戶面臨的風險將會很低,」英特爾在一份聲明中表示。「這包括大部分數據中心安裝基礎和絕大多數PC客戶端。在這些情況下,基于我們在測試系統上運行的基準測試,我們沒有看到上述緩解措施帶來的任何有意義的性能影響。」
英特爾的新GPU產品未限制加密貨幣挖礦功能:10月12日消息,芯片制造商英特爾(Intel)的客戶端圖形產品和解決方案集團總經理Roger Chandler在接受Gadgets360采訪時表示,英特爾正在設計的Arc和煉金術士(Alchemist)系列GPU產品沒有任何專門針對礦工的功能,不會限制加密貨幣挖礦。
此前報道,今年6月份另一家芯片制造商英偉達宣布在其RTX30系列的所有顯卡上添加了Lite Hash Rate算法,該算法可在顯卡運行時檢測是否為挖礦算法,如果被檢測到顯卡用于挖礦,則會將顯卡的計算能力降低一半。[2021/10/12 20:23:56]
但是,英特爾警告運行虛擬機的數據中心「防范情況」,云提供商無法保證所有虛擬化操作系統都受到保護。根據Linux供應商RedHat的說法,這可能意味著云提供商需要關閉支持虛擬機的虛擬機管理程序線程,這可能會降低服務器性能。
動態 | 英特爾GDPR Edge將應用于北美雜貨業:據cryptovest消息,美國咨詢公司SPINS于周三發布聲明稱,由英特爾聯合開發的基于區塊鏈的消費者隱私服務GDPR Edge將在北美的食品雜貨市場中使用。[2018/8/17]
英特爾已在此發布基準,并為尋求更多信息的客戶提供安全建議。亞馬遜和谷歌等大型云服務提供商表示,他們已經制定了緩解措施,以保護客戶免受威脅。
與此同時,AMD表示該公司的芯片「不易受」Foreshadow漏洞的影響。
大批加密貨幣項目受牽連
由于很多加密貨幣項目計劃采用這一技術,對于加密貨幣世界而言,Foreshadow漏洞是個巨大的威脅。
其中最為引人矚目的是Signal平臺幕后的著名極客MoxieMarlinspike正在發售一種更為節約能源的代幣MobileCoin,甚至為這一項目募集了3,000萬美元。
因為這一漏洞,這些項目在真正落地推出前必須得做出一些修改。
「漏洞的發現對加密貨幣世界有著廣泛沖擊,」康奈爾大學安全研究人員PhilDaian對Coindesk表示。
不過好消息是研究人員遵循安全界「負責任」原則,在公開之前通知了英特爾,讓英特爾幾個月前就部署了安全補丁。不過安全界依然認為做得不夠。
Daian表示:
「因為系統升級很慢,很多補丁涉及到硬件升級升級,基礎設施很長時間面對相關攻擊依然非常脆弱……如果這一漏洞在某一時間點被利用來竊取加密貨幣,一點也不奇怪。」
開發者計劃以MobileCoin取代挖礦,打造一種更為節約能源的加密貨幣。而涉及到SGX技術的加密貨幣項目遠遠不止這一個。
隱私數據存儲計算的去中心化平臺Enigma利用SGX獨特技術來增強智能合約對隱私的保護,Enigma發布了一個利用SGX進行計算的測試網。錢包硬件企業Ledger與英特爾達成盟友關系,探討利用SGX技術存儲私鑰。Golem發布了Graphene-ng以幫助開發人員編寫支持SGX的代碼,OasisLabs則通過從a16z等機構募集了4,500萬美元,用于構建支持SGX的分布式計算平臺。類似的名單還很長。
三大筆記本電腦制造商:惠普、聯想和戴爾都支持SGX。MacBook有了支持SGX的芯片,但BIOS還沒有配置完成,還不能讓操作系統支持該功能。等到有一天蘋果也加入SGX陣營,全球四大筆記本電腦品牌都將內置支持SGX的計算。
「SGX技術需要接受研究人員反復測試和破解,直到它能宣稱達到很高的安全水準,這可能需要耗費數年時間,」Daian表示,不過他補充說,他相信可信的硬件配合SGX技術,有朝一日能為加密貨幣世界作出重要的貢獻。
簡單而言,這需要很長時間。
本文來源于非小號媒體平臺:
Perry
現已在非小號資訊平臺發布1篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/3626980.html
漏洞風險安全
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
下一篇:
文摘|如何避免加密空間中兩個最常見的騙局?
美國伍斯特理工學院金融學助理教授DimitriosKoutmos在題為《市場風險和比特幣回報》的論文中指出,比特幣不是對經濟不確定性或股市波動的有效對沖.
1900/1/1 0:00:00據美國金融業監管局網站9月11日星期二發布的一份聲明稱,美國金融業監管局已向TimothyTiltonAyre提起訴訟,指控他進行證券欺詐和非法分發非注冊加密貨幣.
1900/1/1 0:00:00今天,全球最大的聚合交易所BiUP發布了針對火幣搶購插件RSR,這是繼火幣TOP項目后,BiUP第再次發行的火幣IEO項目,相比火幣首期IEO項目TOP的火爆.
1900/1/1 0:00:00鏈聞編輯時間 《閃電網絡即小額支付?LightningLabs核心開發者帶你深入本質》鏈聞對話兩位閃電網絡專家,從專業技術和行業研究兩個維度呈現閃電網絡更清晰的輪廓.
1900/1/1 0:00:00今日下午,CEO交易所于官網正式發布公告,將于5月22日15:00開始第一期“雙C計劃”試運營.
1900/1/1 0:00:00來源|36Kr 「蘋果拒絕任何時候,以技術為借口,剝奪用戶的隱私權」,今年5月份,庫克在他的母校美國杜克大學演講時,說了這樣一句話。在庫克眼中,用戶自己的數據,只屬于用戶本人.
1900/1/1 0:00:00