网络安全问题:AMD披露其处理器的安全漏洞;黑客在CanSecWest上攻破了多款主流浏览器;Github被发现有隐藏恶意软件

AMD的安全漏洞

AMD处理器芯片组安全漏洞的余波在本周已经成为新闻焦点,热度至今尚未平息。

首次的漏洞在周二的时候被公开,虽然关于漏洞的细节较少但却被大肆宣扬。一些人认为此次的问题要么是被过渡吹捧的,要么是用来操纵AMD的股价的。他为本次的漏洞泄露发表辩护,并决定给AMD少于24小时的时间来解决问题。他说他不同意目前的给与厂商几天甚至几周的时间去准备更新包来做应急处理。

当其首席技术官Ilia Luk-Zilberman发布公开信之后,情况发生了改变。

他写道:“我认为,更好的办法是,在第0天通知公众存在漏洞和影响。”

“通知公众和供应商。除非已经修复了,否则不要透露实际的技术细节。将公众的压力从“get go”中转嫁出去,但绝不能让客户处于危险之中。”

这也许是可能的,但公司并没有在这一事件上完全掩盖自己的荣耀,特别是因为攻击者必须拥有管理员级别的PC访问权限才能工作。

然而,这些错误将被恶意软件作者所采用,一旦任何恶意代码进入系统,它将会是一个绝对的清除程序。

黑客在CanSecWest上攻破了多款主流浏览器

一年一度的CanSecWest安全会议在温哥华举行,这意味着顶级的浏览器和操作系统在Pwn2Own黑客竞赛中遭受重创。

竞争非常简单,如果黑客们能破坏系统,发现漏洞,他们就会得到奖励。而公司将会利用黑客们发现的漏洞进行补救,来获取更安全的网站和系统。今年共发放奖金267000美元,几乎每个目标都被破解了。

尽管尝试了三次,理查德•朱(Richard Zhu)仍攻破了微软(Microsoft) Edge浏览器并拿到了70,000美金的奖金。Oracle VirtualBox也被攻破并被赢得了27,000的奖金。除此之外,黑客还使用3个bug拿下了苹果的Safari浏览器,并赢得了6万美元的奖金和一台免费笔记本电脑。

Zhu第二天又回来了,并且在Mozilla的Firefox浏览器上取得了更大的成功,赢得了5万美元。他在Safari上的另一个尝试是成功的,由于被时间限制而没有获得现金奖励,但下一个团队成功了并获得了5万美元的奖金。

今年的比赛比预期的要小。部分原因是一些团队无法获得攻击代码,也因为没有任何中国团队参与其中。中国已经决定保留自己的功绩,而且这也被证明是对漏洞披露的事实。

Git被发现有隐藏恶意软件

GitHub也经历了糟糕的一周。这个网站不仅有潜在的版权问题,而且还被发现有一些恶意软件。

研究人员发现了这个存储库,它隐藏了LokiBot,这是一个收集垃圾邮件的凭证。把它贴在GitHub上意味着任何机器都可以被重定向到下载,用户以为他们下载的是Adobe的Flash,但其实是一个恶意软件。

  • 发表于:
  • 原文链接http://www.theregister.co.uk/2018/03/17/security_roundup
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券