BUF早餐鋪 | Facebook披露了影響5000萬用戶帳戶的網路漏洞;中華遺囑庫用區塊鏈技術保障遺囑安全有...
各位Buffer早上好,今天是2018年9月30日星期日,農曆八月二十一。今天的早餐鋪內容有:Facebook披露了影響5000萬用戶帳戶的網路漏洞;第一個規模利用的 UEFI 惡意韌體 rootkit 曝光;蔚來ES8行駛中系統宕機;中華遺囑庫用區塊鏈技術保障遺囑安全有效;微軟雲端計算開放硬體安全方案。
Facebook披露了影響5000萬用戶帳戶的網路漏洞
Facebook週五宣佈,該公司發現了一個安全漏洞,黑客可利用這個漏洞來獲取資訊,而這些資訊原本可令黑客控制約5000萬個使用者賬號。Facebook CEO馬克·扎克伯格(Mark Zuckerberg)稱:“這是個非常嚴重的安全問題,我們正在非常認真地對待。”在披露這一訊息之前,Facebook股價已經下跌了1.5%左右,訊息傳出後進一步走低,到收盤時下跌2.59%報164.46美元,盤中一度觸及162.56美元的低點。[來源: ofollow,noindex" target="_blank">cnBeta ]
蔚來ES8行駛中系統宕機
蔚來汽車首款量產車ES8作為一款國產電動產有著不小的名氣,定位高效能和極致生活體驗的智慧7座SUV,首批車輛已經交付,但其穩定性卻遭到質疑。據微博認證使用者@亞東稱,自己的蔚來ES8居然在行駛過程中出現了宕機,車輛能開,但是行車系統加不上電,全車系統啟動不了,重啟依然加不上電。[來源: IT之家 ]
第一個規模利用的 UEFI 惡意韌體 rootkit 曝光
ESET團隊近日曝光了一個有規模利用的UEFI惡意韌體樣本LoJax,此惡意韌體應該是由Sednit(又名APT28)組織打造用於配合惡意軟體持久化控制受害者計算機,整個惡意植入的流程大概如下:檢查韌體安全設定是否正確,如果未正確設定(比如沒有防寫)就直接寫入惡意模組到SPI flash中,如果正確設定的情況下則使用CVE-2014-8273漏洞利用進而完成惡意模組植入。基於UEFI的rootkit成為了Sednit惡意軟體體系重要的組成部分,關於其他部分的描述可以參考ESET給出的資訊。此次曝光的攻擊是針對Windows的機型,但由於其韌體的特性可以很輕鬆的移植到其他平臺,HardenedLinux社群的建議是常規的韌體安全審計,以及基於包括自由韌體在內的定製方案( hardenedboot)。[來源: Solidot ]
中華遺囑庫用區塊鏈技術保障遺囑安全有效
據新京報報道,中華遺囑庫管委會主任陳凱近日表示,“今後,凡在中華遺囑庫進行遺囑登記以及保管業務,所有電子證據保全及認證證書、數字證書、可信時間戳證書都將實時上傳司法電子證據雲,將遺囑保管在遺囑庫將更加安全”。“遺囑司法證據備案查詢系統”將司法電子證據與遺囑登記融合,這將讓遺囑保管更加具備司法公信力,也讓遺囑更安全。該系統是將中華遺囑庫登記。[來源: Bianews ]
微軟雲端計算開放硬體安全方案
微軟作為OCP(開放計算節點基金會)的白金會員,此前貢獻了名為Olympus的微軟下一代資料中心的機架專案給OCP,其中伺服器規格是基於x86/arm64處理器的1U/2U機型,而Olympus有一個衍生的開放硬體安全專案:Cerberus,Cerberus使用一個安全處理器對SPI匯流排和主機板硬體裝置之間進行攔截,作為信任根對韌體(UEFI,OptionROMs,BMC,Intel ME/SPS以及其他外設的韌體)的簽名合法性和完整性進行檢查,這一過程對於主CPU是無感知的。Cerberus目標是滿足NIST SP 800-193韌體合規指南的要求,隨著NIST SP 800-193於2018年5月定稿,未來像Cerberus,OpenTITAN這類開放可審計的方案會更受歡迎。[來源: Solidot ]
*本文由Andy.i整理編譯,轉載請註明來自FreeBuf.COM