火绒安全周报：英特尔芯片出现底层设计漏洞 火狐代码错误收集用户崩溃报告

1

英特尔芯片出现底层设计漏洞

英特尔公司日前被曝出在其过去十年生产的x86处理器中都存在一严重漏洞，导致微软、苹果等公司需要修改操作系统。但这一漏洞修补过程可能导致全球个人电脑性能下降，最高下降幅度高达三成。

据研究人员透露，这个漏洞与内核中的虚拟内存系统有关，攻击者可借此访问内核中那些受保护的数据，如密码、登录密钥等。此类攻击对 Intel 处理器的影响是深远的，几乎波及了全球所有的手机、电脑、服务器以及云计算产品，受影响的个人电脑中，也包括了采用macOS操作系统的苹果电脑。糟糕的是，英特尔公司本身无法采用固件升级的方式解决这一漏洞，导致微软、苹果等操作系统开发商各自寻求修补方法。

据报道，微软可能将在下周的补丁日释出安全更新，而解决 Linux 内核漏洞的安全补丁已于上周推送，另据报道，苹果的 64 位 macOS 系统也需要进行更新。

Intel表示，漏洞修复对性能的影响取决于系统工作负载，至少对普通计算机用户来说影响并不显著。火绒工程师建议用户尽快安装各个操作系统厂商推出的补丁。

来源：https://mp.weixin.qq.com/s/3cmCb9kREzo-5RMol2LMxw

2

火狐决定删除部分收集到的崩溃报告

Mozilla近日表示，此前Firefox 52.0发布以后，因相关功能的代码错误，浏览器没有遵从用户关于隐私的相关设置，一直在收集用户的崩溃报告。也就是说，不管用户本身愿不愿意分享，这些崩溃报告都会被自动发送到Mozilla服务器。错误代码已在Firefox 57.0.3版本中得到修复。因Mozilla工程师们无法确定这些崩溃报告是用户自愿共享还是因为该错误导致浏览器自动发送的，并且涉及到部分用户的隐私问题，Mozilla决定删除它收到的所有从52.0版本发布后一直到57.0.2版本之间所收集到的所有崩溃报告。

来源：https://baijiahao.baidu.com/s?id=1588664702396557499&wfr=spider&for=pc

3

Forever21 承认客户信用卡数据泄漏 由POS机老旧导致

去年11月，美国公司Forever 21发现部分门店交易数据被盗取。经调查后发现，用户的信用卡信息被盗是因为有黑客在 POS 终端被安装了恶意软件，通过这个软件，黑客可以窃取消费者信用卡卡号、有效日期、验证码甚至用户姓名。Forever21表示，被黑客攻击的都是一些老旧设备，现已将这些老旧设备淘汰，并已聘请安全专家帮助解决POS 设备的加密问题，以加强安全措施。

来源：http://www.4hou.com/info/news/9728.html

4

广告公司利用浏览器内置密码管理器的漏洞追踪用户

普林斯顿信息技术政策中心的一组研究人员发现，AdThink和OnAudience两家营销公司，利用浏览器内置密码管理器的漏洞，秘密窃取电子邮件地址。通过收集到的数据，便于他们在不同的浏览器和设备上投放广告。还可以利用这一漏洞从浏览器中窃取保存的登录凭证。目前，几乎所有的浏览器都内置密码管理器，用于自动填写已保存的登录信息。

研究人员称：“电子邮件地址是独一无二且持久的，因此电子邮件地址的哈希值是一个很好的跟踪标识符。“用户的电子邮件地址几乎不会改变，清除cookie，使用隐私浏览模式，或交换设备不会阻止跟踪。

来源：http://www.freebuf.com/news/159175.html