❶ 什麼重大安全漏洞讓手機和電腦都不安全了
注意!重大安差和全漏洞曝光:你的安卓手機、iPhone、電腦都不安全了!
據報道,1月3日,網路安全研究人員披露了存在於英特爾、AMD和ARM架構的晶元中的兩個安全漏洞,而這能夠讓黑客盜取幾乎所有的現代計算設備中的敏感信息。
英特爾晶元被爆重大安全漏洞 主流系統全中招
報道稱,第一個漏洞稱為「熔斷」,其影響的是英特爾晶元,能讓黑客繞過由用戶運行的應用程序和計算機內存之間的硬體屏障,讀取計算機內存數據,並竊取密碼。
第二個漏洞稱為「幽靈」,影響到英特爾、AMD和ARM架構的晶元,讓黑客能夠誘騙其他無錯誤的應用程序放棄機源拍密信息,這幾乎影響到了包括筆記本電腦、台式機、智能手機、平板電腦和互聯網伺服器在內的所有硬體設備。
Alex Ionescu推特截圖
AI 的消息源(包括 Ionescu)則表示,macOS High Sierra 10.13.3將帶來更多地變化,不過兩者都拒絕透露更多的細節。
目前該網站正在2017款MacBook Pro上進行速度測試,從早期測試看,運行macOS High Sierra 10.13.1和10.13.2的系統之間沒有明顯的性能下降。
對於之前報道中提到的微軟和Linux正在修復系統一說,微軟向AI透露,他們目前無法就發布更新的時間表進行評論,但內核內存管理在2017年底的Windows 10 beta中已經發生了變化。
此外,英特爾CEO科再奇在公司公開披露晶元漏洞之前,拋售了價值數千萬美元的股票,讓自己持有的英特爾股票數量達到英特爾的最低要求:25萬股。不過英特爾發言人表示,科再奇的股票拋售與這兩個晶元漏洞「無關」。
❷ wifi安全漏洞嚴重嗎
美國時間10月16日,一家安全研究機構發表的報告指出,用於保護Wi-Fi網路安全的防護機制WPA2出現漏洞,黑客可以利用這一漏洞監聽到任何聯網設備的通訊內容。谷歌的安卓、蘋果的iOS和微軟的Windows等操作系統均可能受到影響。
該如何應對
Vanhoef表示,目前不需要修改Wi-Fi密碼,而是要確保對所有的終端設備和路由器的固件都進行更新。
他還表示,人們應該繼續使用WPA2協議。
美國國土安全部計算機應急響應小組建議,在受影響的產品(如由Cisco Systems或瞻博網路提供的路由器)上安裝供應商提供的更新。
微軟回復科技網站The Verge稱,它已經發布了一個解決該問題的安全更新程序, 谷歌發言人在推特上稱,2017年11月6日或之臘答後的安全補丁程序級別的安卓設備受到保護。蘋果公司確認它已經有了掘局跡修復方法,目前處於測試狀態,軟體即將推出。
在使用wifi時要更注意安全,使用安全的wifi。
❸ Arm晶元曝重大硬體漏洞,影響所有移動設備且無法軟體修復
麻省理工學院的安全研究人員近日在一篇新論文中公布了一種一種新的攻擊方法,該攻擊方法利用 Arm 處理器中的硬體漏洞,通過一種被稱為 PacMan 的新型硬體攻擊來實現在系統上的任意代碼執行,利用了推測性執行攻擊繞過Arm指針身份驗證的內存保護機制。
安全研究人員以蘋果的M1處理器晶元進行了演示,通過PacMan攻擊手法可以在macOS系統上執行任意代碼。
目前該硬體漏洞已確認無法通過軟體進行修復,麻省理工學院安全專家表示,如果不採取補救措施,該硬體漏洞將影響所有採用Arm晶元架構的移動設備,也將影響部分採用Arm晶元的PC電腦。
根據中國網路安全行業門戶極牛網(GeekNB.com)的梳理,該漏洞源於指針身份驗證代碼 ( PAC ),這是 arm64e 架構中引入的一道安全防線,旨在檢測和保護內存中指針(存儲內存地址的對象)的意外更改或損壞。通常通過覆蓋內存中的控制數據(即指針)來利用這些漏洞將代碼執行重定向到攻擊者控制的任意位置。
雖然已經設計了諸如地址歲閉空間布局隨機化 ( ASLR ) 之類的策略來增加執行緩沖區溢出攻擊的難度,但指針身份驗證代碼(PAC)的目標是以最小的性能損耗驗證指針有效性,通過使用加密哈希為指針身份驗證代碼 (PAC)保護指針,以確保其完整性。
指針身份驗證通過提供一個特殊的 CPU 指令在存儲指針之前將加密簽名添加到指針的未使用高位來實現,另一條指令從內存中讀回指針後刪除並驗證簽名。在寫入和讀取之間對存儲值的任何更改都會使簽名無效。CPU 將身份驗證失敗解釋為內存損壞,並在指針中設置一個高位,使指針無效並導致應用程序崩潰。
PacMan攻擊手法消除了在使用指針身孫喊份驗證保護的平台上進行控制流劫持攻擊的主要障礙,結合了內存損壞和推測執行來繞過安全驗證功能,通過微架構側通道泄漏指針身份驗證代碼(PAC)驗證結果而不會導致應用程序崩潰。
簡而言之,攻擊方法可以區分正確的指針身份驗證代碼(PAC)和不正確的哈希,允許攻擊者在防止應用崩潰的同時暴力破解正確的指針身份驗證代碼(PAC)值,並對啟用 PA 的控制流劫持受害者的應用程序或操作系統。
防止應乎凱裂用崩潰之所以能成功,是因為每個指針身份驗證代碼(PAC)值都是通過使用 Prime+Probe 攻擊的轉換後備緩沖區 ( TLB ) 利用基於時間的邊信道來推測性地猜測的。推測執行漏洞將無序執行武器化,這種技術用於通過預測程序執行流的最可能路徑來提高現代微處理器的性能。
麻省理工學院研究論文中還記錄了對蘋果M1處理器的內存層次結構所做的逆向工程,這反過來揭示了這種晶元架構許多以前從未公開的技術細節。
目前該硬體漏洞的波及面還在研究中,專家們還在研究制定修復方案,相關資訊極牛網將第一時間跟蹤報道。
❹ 網路設備的安全漏洞主要有哪些
世界網路設備巨人思科公司日前發出警告,在其路由器和交換機中使用的IOS軟體中存在三個安全漏洞,黑客可以利用它們來在受感染的交換機和路由器上運行任意惡意代碼,或者發起拒絕服務攻擊。
思科公司目前已經發布了解決的辦法,並發布了一個更新版的IOS軟體。
三個安全漏洞分別是:
1、TCP數據包問題:在特定版本的IOS中,存在內存泄漏漏洞,可導致DOS工具,美國CERT的一份安全警報如此寫道。
2、IPv6路由數據幀頭缺陷:IOS可能不能正確的處理IPv6(互聯網協議第六版)數據包的特定格式的路由數據頭,可能導致一個DOS攻擊或者運行任何惡意代碼。IPv6是一套可以讓我們在互聯網上獲得更多IP地址一套規范。
3、欺騙性的IP選項漏洞:這是一個IOS在處理具有特定的欺騙性的IP選項的IPv4數據包的時候存在的安全漏洞,據CERT說,它也可以導致DOS攻擊或運行任意惡毒代碼。
CERT表示,所有三個漏洞都可能導致設備重新載入它的操作系統。這情況下,一種間接的持續性的DOS情況就有可能發生,因為數據包已經不能通過該設備了。
據CERT表示,由於運行IOS的設備可能要針對許多其他的網路來轉發數據,因此這種拒絕服務攻擊的間接影響所帶來的後果可能是 非常嚴重的。
據思科公司在其安全公告中表示,公司已經發布了針對這些漏洞的補丁軟體。據思科公司補充道:它目前還不未得知有利用這些漏洞的攻擊出現。不過,據IBM公司互聯網安全系統的安全戰略主管奧爾曼表示,由於這些漏洞的嚴重性,用戶需要盡快安裝補丁軟體。據他表示,從他們的監測來看,有許多黑客正在試圖利用這些漏洞。
❺ 電腦發現漏洞怎麼修復不了
造成這個情況的原因有很多。比如修復之後沒有將電腦重啟,或者電腦缺少一些文件導致修復失敗。那麼解決方法就是找到缺失的文件重新修復下,然後將電腦重啟下即可。
❻ 什麼叫漏洞,什麼叫補丁
漏洞是在硬體、軟體、協議的具體實現或系統安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。具體舉例來說,比如在Intel Pentium晶元中存在的邏輯錯誤,在Sendmail早期版本中的編程錯誤,在NFS協議中認證方式上的弱點,在Unix系統管理員設置匿名Ftp服務時配置不當的問題都可能被攻擊者使用,威脅到系統的安全。因而這些都可以認為是系統中存在的安全漏洞。
1、對於大型軟體系統(如微軟操作系統)在使用過程中暴露的問題(一般由黑客或病毒設計者發現)而發布的解決問題的小程序.
就像衣服爛了就要打補丁一樣,軟體也需要,軟體是人寫的,而人是有缺陷的,所以也就免不了軟體會出現BUG,而補丁是專門修復這些BUG做的因為原來發布的軟體存在缺陷,發現之後另外編制一個小程序使其完善,這種小程序俗稱補丁。補丁是由軟體的原來作者製作的,你可以訪問他們的網站下載補丁,訪問他們網站的方法在幫助菜單欄下有。
操作程序,尤其是WINDOWS,各種軟體,游戲,在原公司程序編寫員發現軟體存在問題或漏洞,統稱為BUG,可能使用戶在使用系統或軟體時出現干擾工作或有害於安全的問題後,寫出一些可插入於源程序的程序語言,這就是補丁。
2、補在破損的衣服或物件上的東西。亦作"補帄"、"補釘"。
3.這里的補丁並不是指由於在軟體(包括操作系統)的使用過程對軟體進行了破壞,即,使原來完整的軟體變得不完整,我們為了修補受損的軟體而安裝的東西。
http://ke..com/view/93544.html?wtp=tt;
http://ke..com/view/228.html?wtp=tt
❼ 阿里雲未及時通報重大網路安全漏洞,會帶來什麼後果
【文/觀察者網 呂棟】
這事緣起於一個月前。當時,阿里雲團隊的一名成員發現阿帕奇(Apache)Log4j2組件嚴重安全漏洞後,隨即向位於美國的阿帕奇軟體基金會通報,但並沒有按照規定向中國工信部通報。事發半個月後,中國工信部收到網路安全專業機構的報告,才發現阿帕奇組件存在嚴重安全漏洞。
阿帕奇組件存在的到底是什麼漏洞?阿里雲沒有及時通報會造成什麼後果?國內企業在發現安全漏洞後應該走什麼程序通報?觀察者網帶著這些問題采訪了一些業內人士。
漏洞銀行聯合創始人、CTO張雪松向觀察者網指出,Log4j2組件應用極其廣泛,漏洞危害可以迅速傳播到各個領域。由於阿里雲未及時向中國主管部門報告相關漏洞,直接造成國內相關機構處於被動地位。
關於Log4j2組件在計算機網路領域的關鍵作用,有國外網友用漫畫形式做了形象說明。按這個圖片解讀,如果沒有Log4j2組件的支撐,所有現代數字基礎設施都存在倒塌的危險。
國外社交媒體用戶以漫畫的形式,說明Log4j2的重要性
觀察者網梳理此次阿帕奇嚴重安全漏洞的時間線如下:
根據公開資料,此次被阿里雲安全團隊發現漏洞的Apache Log4j2是一款開源的Java日誌記錄工具,控制Java類系統日誌信息生成、列印輸出、格式配置等,大量的業務框架都使用了該組件,因此被廣泛應用於各種應用程序和網路服務。
有資深業內人士告訴觀察者網,Log4j2組件出現安全漏洞主要有兩方面影響:一是Log4j2本身在java類系統中應用極其廣泛,全球Java框架幾乎都有使用。二是漏洞細節被公開,由於利用條件極低幾乎沒有技術門檻。因適用范圍廣和漏洞利用難度低,所以影響立即擴散並迅速傳播到各個行業領域。
簡單來說,這一漏洞可以讓網路攻擊者無需密碼就能訪問網路伺服器。
這並非危言聳聽。美聯社等外媒在獲取消息後評論稱,這一漏洞可能是近年來發現的最嚴重的計算機漏洞。Log4j2在全行業和政府使用的雲伺服器和企業軟體中「無處不在」,甚至犯罪分子、間諜乃至編程新手,都可以輕易使用這一漏洞進入內部網路,竊取信息、植入惡意軟體和刪除關鍵信息等。
阿里雲官網截圖
然而,阿里雲在發現這個「過去十年內最大也是最關鍵的單一漏洞」後,並沒有按照《網路產品安全漏洞管理規定》第七條要求,在2天內向工信部網路安全威脅和漏洞信息共享平台報送信息,而只是向阿帕奇軟體基金會通報了相關信息。
觀察者網查詢公開資料發現,阿帕奇軟體基金會(Apache)於1999年成立於美國,是專門為支持開源軟體項目而辦的一個非營利性組織。在它所支持的Apache項目與子項目中,所發行的軟體產品都遵循Apache許可證(Apache License)。
12月10日,在阿里雲向阿帕奇軟體基金會通報漏洞過去半個多月後,中國國家信息安全漏洞共享平台才獲得相關信息,並發布《關於Apache Log4j2存在遠程代碼執行漏洞的安全公告》,稱阿帕奇官方已發布補丁修復該漏洞,並建議受影響用戶立即更新至最新版本,同時採取防範性措施避免漏洞攻擊威脅。
中國國家信息安全漏洞共享平台官網截圖
事實上,國內網路漏洞報送存在清晰流程。業內人士向觀察者網介紹,業界通用的漏洞報送流程是,成員單位>工業和信息化部網路安全管理局 >國家信息安全漏洞共享平台(CNVD) CVE 中國信息安全測評中心 > 國家信息安全漏洞庫(CNNVD)> 國際非盈利組織CVE;非成員單位或個人注冊提交CNVD或CNNVD。
根據公開資料,CVE(通用漏洞共享披露)是國際非盈利組織,全球通用漏洞共享披露協調企業修復解決安全問題,由於最早由美國發起該漏洞技術委員會,所以組織管理機構主要在美國。而CNVD是中國的信息安全漏洞信息共享平台,由國內重要信息系統單位、基礎電信運營商、網路安全廠商、軟體廠商和互聯網企業建立的信息安全漏洞信息共享知識庫。
上述業內人士認為,阿里這次因為漏洞影響較大,所以被當做典型通報。在CNVD建立之前以及最近幾年,國內安全人員對CVE的共識、認可度和普及程度更高,發現漏洞安全研究人員慣性會提交CVE,雖然最近兩年國家建立了CNVD,但普及程度不夠,估計阿里安全研究員提交漏洞的時候,認為是個人技術成果的事情,上報國際組織協調修復即可。
但根據最新發布的《網路產品安全漏洞管理規定》,國內安全研究人員發現漏洞之後報送CNVD即可,CNVD會發起向CVE報送流程,協調廠商和企業修復安全漏洞,不允許直接向國外漏洞平台提交。
由於阿里雲這次的行為未有效支撐工信部開展網路安全威脅和漏洞管理,根據工信部最新通報,工信部網路安全管理局研究後,決定暫停阿里雲作為上述合作單位6個月。暫停期滿後,根據阿里雲整改情況,研究恢復其上述合作單位。
業內人士向觀察者網指出,工信部這次針對是阿里,其實也是向國內網路安全行業從業人員發出警示。從結果來看對阿里的處罰算輕的,一是沒有踢出成員單位,只是暫停6個月。二是工信部沒有對這次事件的安全研究人員進行個人行政處罰或警告,只是對直接向國外CVE報送的Log4j漏洞的那個安全專家點名批評。
本文系觀察者網獨家稿件,未經授權,不得轉載。
❽ 詳談計算機網路安全漏洞及防範措施
漏洞是影響計算機網路安全的其中之一,漏洞是在硬體、軟體、協議的具體實現或系統安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。漏洞表現在軟體編寫BUG,系統配置不當、口令失竊、嗅探未加密通訊技術及設計存在缺陷等方面。常見的系統漏洞達十多種。
影響計算機網路安全的不只是漏洞一種,還可以通過木馬病毒控制和攻擊,也可以通過一些軟體達到控制和攻擊的目的。
我是這樣來防範的:安裝完系統就備份注冊表、創建一個系統還原點以便日後系統有問題可以還原到當前的還原點、給用戶設置密碼、給屏保也設置密碼、安裝殺毒軟體、啟用防火牆、給文件和文件夾加密(或者隱藏)、下載補丁修補漏洞、設置IE瀏覽器及一些應用軟體的安全級別和代理伺服器、重要文件備份。總之內容很多,在此就不一一列舉,樓主如果有興趣,可以買一本黑客攻防基礎方面的書看看。
❾ 什麼是系統漏洞,對計算機有什麼影響
漏洞是在硬體、軟體、協議的具體實現或系統安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。具體舉例來說,比如在Intel Pentium晶元中存在的邏輯錯誤,在Sendmail早期版本中的編程錯誤,在NFS協議中認證方式上的弱點,在Unix系統管理員設置匿名Ftp服務時配置不當的問題都可能被攻擊者使用,威脅到系統的安全。因而這些都可以認為是系統中存在的安全漏洞。
漏洞與具體系統環境之間的關系及其時間相關特性
漏洞會影響到很大范圍的軟硬體設備,包括作系統本身及其支撐軟體,網路客戶和伺服器軟體,網路路由器和安全防火牆等。換而言之,在這些不同的軟硬體設備中都可能存在不同的安全漏洞問題。在不同種類的軟、硬體設備,同種設備的不同跡碰團版本之間,由不同設備構成的不同系統之間,以及同種系統在不同的設置條件下,都會存在各自不同的安全漏洞問題。
漏洞問題是與時間緊密相關的。一個系統從發布的那一天起,隨著用戶的深入使用,系統中存在的漏洞會被不斷暴露出來,這些早先被發現的漏洞也會不斷被系統供應商發布的補丁軟體修補,或在以後發布的新版系統中得以糾正。而在新版系統糾正了舊版本中具有漏洞的同時,也會引入一些新的漏洞和錯誤。因而隨著時間的推移,舊的漏洞會不斷消失,新的漏洞會不斷出現。漏洞問題也會長期存在。
因而脫離具體的時間和具體的系統環境來討論漏洞問題是毫無意義的。只能針對目標系統的作系統版本、其上運行的軟體版本以及服務運行設置等實際環境來具體談論其中可能存在的漏洞及其可行的解決辦法。
同時應該看到,對漏洞問題的研究必須要跟蹤當前最新的計算機系統及其安全問題的最新發展動態。這一點如同對計算機病毒發展問題的研究相似。如果在工作中不能保持對新技術的跟蹤,就沒有談論系統安全漏洞問題的發言權,既使是以前所作的工作也會逐漸失去價值。
二、漏洞問題與不同安全級別計算機系統之間的關系
目前計算機系統安全的分級標准一般都是依據「橘皮書」中的定義。橘皮書正式名稱是「受信任計算機系統評量基準」(Trusted Computer System Evaluation Criteria)。橘皮書中對可信任系統的定義是這樣的:一個由完整的硬體及軟體所組成的系統,在不違反訪問許可權的情況下,它能同時服務於不限定個數的用戶,並處理從一般機密到最高機密等不同范圍的信息。
橘皮書將一個計算機系統可接受的信任程度加以分級,凡符合某些安全條件、基準規則的系統即可歸類為某種安全等級。橘皮書將計算機系統的安全性能由高而低劃分為A、B、C、D四大等級。其中:
D級——最低保護(Minimal Protection),凡沒有通過其他安全等級測試項目的系統即屬於該級,如Dos,Windows個人計算機系統。
C級——自主訪問控制(Discretionary Protection),該等級的姿橘安全特點在於系統的客體(如文件、目錄)可由該系統主體(如系統管理員、用戶、應用程序)自主定義訪問權。例如:管理員可以決定系統中任意文件的許可權。當前Unix、Linux、Windows NT等作系統都為此安全等級。
B級——強制訪問控制(Mandatory Protection),該等級的安全特點在於由系統強制對客體進行安全保護,在該級安全系統中,每個系統客體(如文件、目錄等資源)及主體(如系統管理員、用戶、應用程序)都有自己的安全標簽(Security Label),系統依據用戶的安全等級賦予其對各個對象的訪問許可權。
A級——可驗證訪問控制(Verified Protection),而其特點在於該等級的系統擁有正式的分析及數學式方法可完全證明該系統的安全策略及安全規格的完整性與一致性。 '
可見,根據定義,系統的安全級別越高,理論上該系統也越安全。可以說,系統安全級別是一種理論上的安全保證機制。是指在正常情況下,在某個系統根據理論得以正確實現時,系統應該可以達到的安全程度。
系統安全漏洞是指可以用來對系統安全造成危害,系統本身具有的,或設置上存在的缺陷。總之,漏洞是系統在具體實現中的錯誤。比如在建立安全機制中規劃考慮上的缺陷,作系統和其吵頃他軟體編程中的錯誤,以及在使用該系統提供的安全機制時人為的配置錯誤等。
安全漏洞的出現,是因為人們在對安全機制理論的具體實現中發生了錯誤,是意外出現的非正常情況。而在一切由人類實現的系統中都會不同程度的存在實現和設置上的各種潛在錯誤。因而在所有系統中必定存在某些安全漏洞,無論這些漏洞是否已被發現,也無論該系統的理論安全級別如何。
所以可以認為,在一定程度上,安全漏洞問題是獨立於作系統本身的理論安全級別而存在的。並不是說,系統所屬的安全級別越高,該系統中存在的安全漏洞就越少。
可以這么理解,當系統中存在的某些漏洞被入侵者利用,使入侵者得以繞過系統中的一部分安全機制並獲得對系統一定程度的訪問許可權後,在安全性較高的系統當中,入侵者如果希望進一步獲得特權或對系統造成較大的破壞,必須要克服更大的障礙。
三、安全漏洞與系統攻擊之間的關系
系統安全漏洞是在系統具體實現和具體使用中產生的錯誤,但並不是系統中存在的錯誤都是安全漏洞。只有能威脅到系統安全的錯誤才是漏洞。許多錯誤在通常情況下並不會對系統安全造成危害,只有被人在某些條件下故意使用時才會影響系統安全。
漏洞雖然可能最初就存在於系統當中,但一個漏洞並不是自己出現的,必須要有人發現。在實際使用中,用戶會發現系統中存在錯誤,而入侵者會有意利用其中的某些錯誤並使其成為威脅系統安全的工具,這時人們會認識到這個錯誤是一個系統安全漏洞。系統供應商會盡快發布針對這個漏洞的補丁程序,糾正這個錯誤。這就是系統安全漏洞從被發現到被糾正的一般過程。
系統攻擊者往往是安全漏洞的發現者和使用者,要對於一個系統進行攻擊,如果不能發現和使用系統中存在的安全漏洞是不可能成功的。對於安全級別較高的系統尤其如此。
系統安全漏洞與系統攻擊活動之間有緊密的關系。因而不該脫離系統攻擊活動來談論安全漏洞問題。了解常見的系統攻擊方法,對於有針對性的理解系統漏洞問題,以及找到相應的補救方法是十分必要的。
四、常見攻擊方法與攻擊過程的簡單描述
系統攻擊是指某人非法使用或破壞某一信息系統中的資源,以及非授權使系統喪失部分或全部服務功能的行為。
通常可以把攻擊活動大致分為遠程攻擊和內部攻擊兩種。現在隨著互聯網路的進步,其中的遠程攻擊技術得到很大發展,威脅也越來越大,而其中涉及的系統漏洞以及相關的知識也較多,因此有重要的研究價值。