Intel 這次的漏洞不得了,微軟、蘋果都得改寫系統才能修

這是這幾天的大新聞,覺得還是該留下些文字說明一下。

Intel 最近被批露了一項在中央處理器(CPU)的漏洞,該漏洞的影響範圍極廣,從大型數據中心的應用程式,到一般使用者有支援 JavaScript 的瀏覽器都會受到影響,而且市面三大主流操作系統 Windows、Mac、Linux 通通都有獎。

用簡短的話來描述這次漏洞的話,這個安全漏洞可以允許攻擊者在登入虛擬帳號 A 時,任意查看儲存在同一個物理區域的虛擬用戶 B 的所有資料,包含儲存的密碼與資料等機密資訊。

這個其實問題很大,尤其近年大家都習慣使用雲端伺服器,在一台實體機器上,同時擁有許多不同的虛擬機器或虛擬帳號,若他們之間可以互相查看,那實在相當糟糕。

而且這漏洞超級棘手,不是作業系統廠商改行程式碼可以解決,目前的解決方案都會造成系統效能大幅下降約30%,你說嚴重不嚴重?

閱讀:

目前各廠商的回應(等於從作業系統、虛擬機器、到瀏覽器全面都要進行修補):

WPA2 加密機制爆漏洞, 五招自保以防Wi-Fi 上網遭偷窺

節略…

WPA2 是藉由授權與加密機制來確保 Wi-Fi 裝置及硬體的通訊安全。KRACK 攻擊如果得逞,駭客就能偷窺裝置與 Wi-Fi 無線基地台之間的網路流量。

根據科技新聞網站 Ars Technica 表示,美國電腦緊急應變小組 (United States Computer Emergency Readiness Team,簡稱 US-CERT) 在針對某些機構發出的公告當中指出,這批漏洞是發生在雙方進行交握 (handshake) 以產生網路通訊加密金鑰的過程。此金鑰只要被重新傳送多次,未來就能重複使用,但該金鑰原本應該只能使用一次。

  1. 定期更換 Wi-Fi 基地台密碼以減少這類攻擊的機會。
  2. 盡量別讓不相干的人搜尋到您的 Wi-Fi 網路識別碼 (SSID)。
  3. 啟用防火牆來增加一道安全防護。
  4. 採用虛擬私人網路 (VPN),尤其是從遠端存取企業資料時。
  5. 盡可能讓 Wi-Fi 裝置、基地台或其他硬體的韌體隨時保持更新,否則,在該漏洞修補之前,先改用有線連線。

最快的作法,就是改用有線網路(記得關閉無線基地台)。

[原文連結]

Wi-Fi加密大崩壞-全球數10億裝置遭殃!

這次出事的是 WPA2,是一個已經使用14年的無線網路加密通訊協定,在過去被認為是安全的,不過雞蛋再密也有縫,而這次的漏洞由比利時魯文大學的資安研究員揭露,將使得所有 wifi 的使用者等同於裸奔,所有傳輸內容很可能被駭客看光光!甚至駭客可以攔截並竄改連線的內容,幫你線上購物刷卡或偽造身分。

但是要修補的對象是無線網路基地台之類的裝置,在更新系統上並不像一般PC作業系統那樣容易修補,所以想見未來幾年這個漏洞都會是駭客的最愛之一,影響相當深遠。

參閱資料:

一段可疑的javascript程式碼

這兩天在維護我的系統的時候,在 html 頁面發現了一段我從未寫過的 javascript 程式,內容如下:

/* < ![CDATA[ */(function(d,s,a,i,j,r,l,m,t){try{l=d.getElementsByTagName('a');t=d.createElement('textarea');for(i=0;l.length-i;i++){try{a=l[i].href;s=a.indexOf('/cdn-cgi/l/email-protection');m=a.length;if(a&&s>-1&&m>28){j=28+s;s='';if(j/g,'>');l[i].href='mailto:'+t.value}}catch(e){}}}catch(e){}})(document);/* ]]> */

看起來是沒有惡意的動作,後來知道原來是 CloudFlare 加進去的,目的是為了屏蔽 mailto 連結,所以也只含有 mailto 連結的頁面會有這一段 script。

[參考資料]