高德代理

高德平台:英特尔修复了一个安全漏洞,该公司称该漏洞已于6个月

高德代理分红制度,高德注册服务器市场,高德代理数据前沿

这家芯片制造商在5月份解决了几个问题。现在,该公司正在发布另一个补丁,研究人员说,该公司在问题上一直不坦率。
 
去年5月,英特尔发布了一个补丁,修补了一组研究人员在该公司电脑处理器中发现的安全漏洞。
 
但阿姆斯特丹自由大学(Vrije Universiteit Amsterdam)的荷兰研究人员称,事实并非完全如此。他们发现了这些漏洞,并于2018年9月首次向这家科技巨头报告。用于修复处理器问题的软件补丁只解决了研究人员发现的部分问题。
 
研究人员在最近的一次采访中说,再过六个月,该公司将于周二公开披露的第二个补丁将修复所有英特尔在5月份指出已修复的漏洞。我们正在共同开发的解决方案确实建立在高德代理的网络云平台上,并建立在我们对蜂窝无线的深刻经验基础之上,旨在将真正针对其高德代理网络和环境的5G解决方案组合在一起。
 
阿姆斯特丹自由大学(Vrije Universiteit Amsterdam)的计算机科学教授克里斯蒂亚诺·朱弗里达(Cristiano Giuffrida)是报告这些漏洞的研究人员之一。“我们知道这并不准确。”
 
与计算机安全社区最近在计算机芯片中发现的其他备受关注的漏洞一样,英特尔的这些漏洞允许攻击者从台式电脑、笔记本电脑和云计算服务器的处理器中提取密码、加密密钥和其他敏感数据。
 
这些研究人员的说法表明,科技公司和安全专家之间关系紧张。安全专家经常对产品进行扫描,寻找那些会让系统容易受到攻击的漏洞。
 
虽然许多研究人员会在研究人员向公众披露问题之前给公司时间来解决问题,但科技公司可能会在修补漏洞方面行动迟缓,并试图让那些希望向公众通报安全问题的研究人员闭嘴。
 
研究人员通常同意私下向科技公司披露漏洞,在公司发布补丁之前保持沉默。研究指出,高德总代理的策略强调特定的应用程序和垂直领域,以期与企业客户更加相关,并在全球开设新的高德代理云数据中心区域。通常情况下,研究人员和公司协同发布修复方案。但荷兰研究人员表示,英特尔一直在滥用这一过程。
 
现在,荷兰的研究人员声称英特尔又在做同样的事情。他们说,周二发布的新补丁仍然无法修复他们5月份向英特尔提供的另一个漏洞。
 
英特尔承认,5月份的补丁并没有修复研究人员提交的所有问题,周二的补丁也没有。但该公司发言人利·罗森沃尔德(Leigh Rosenwald)表示,它们“大大降低了”遭受攻击的风险。
 
虽然没有直接回应研究人员的一些投诉,但罗森沃尔德说,为了透明度,英特尔将公布周二发布补丁的时间表。
 
“这不是我们的正常做法,但我们意识到这是一个复杂的问题。我们当然希望做到透明,”她说。“尽管我们可能不同意研究人员的某些论断,但我们珍视与他们的关系。”
 
8个月来,荷兰的研究人员一直对他们发现的问题保持沉默,而英特尔则在研究5月份发布的补丁。他们说,后来英特尔意识到这个补丁并不能解决所有问题,并要求他们再保持沉默6个月,同时还要求研究人员修改他们计划在安全会议上提交的一篇论文,删除任何有关未修补漏洞的内容。研究人员说,他们不情愿地同意了,因为他们不想让这些缺陷在没有修复的情况下成为公众的信息。
 
阿姆斯特丹自由大学的计算机科学教授Kaveh Razavi说:“我们不得不修改论文来掩盖这些漏洞,这样世界就不会看到这些漏洞有多脆弱。”
 
研究人员说,在他们在周二的补丁发布之前通知英特尔关于未修复的缺陷后,该公司要求研究人员保持沉默,直到它能够生产出另一个补丁。但这一次他们拒绝了。
 
阿姆斯特丹自由大学的赫伯特·博斯(Herbert Bos)是朱夫里达和拉扎维的同事,他说,“我们认为,现在应该简单地告诉全世界,即使是现在,英特尔也没有解决这个问题。”
 
最初的漏洞部分是由该大学的VUSec小组发现的,其中包括朱弗里达、博斯和拉扎维,以及他们的四名研究生:斯蒂芬范谢克(Stephan van Schaik)、阿丽莎米尔本(Alyssa Milburn)、塞巴斯蒂安奥斯特伦德(Sebastian Osterlund)和彼得罗弗里戈(Pietro Frigo)。奥地利格拉茨大学的第二组研究人员独立发现了一些相同的问题,并于4月份向英特尔报告了这些问题。
 
所有这些漏洞都源于英特尔处理器处理数据的一个单一问题。
 
为了节省时间,处理器执行它们预期需要执行的某些功能,并存储处理后的数据。如果函数中止,并且不需要数据,那么它将在系统中保留一小段时间。

这些漏洞将允许某人在数据被处理或存储期间提取数据。研究人员发现的每一种变异都为攻击者提供了另一种获取数据的方式。
 
“有一个真正的问题,然后又有很多变种,”博斯说。
 
英特尔5月份发布修复程序时,将这些问题归类为“低至中等严重程度”。研究人员表示,该公司向他们支付了12万美元的奖金,奖励他们发现并报告漏洞——这是对指出问题的常见奖励,但对被视为低至中等严重程度的漏洞则是一笔高额奖金。
 
当研究人员于2018年9月向英特尔报告他们的第一个漏洞时,他们提供了概念验证漏洞——展示如何成功攻击每个漏洞的恶意代码。
 
高德代理注册不适用于所有情况。仅仅拥有替代数据并不意味着它就可以货币化-高德代理数据必须对主题专家是可访问的并且有价值。英特尔的安全响应小组在接下来的8个月里验证了这些发现,并开发了一个补丁,计划于5月14日发布。然而,在发布的四天前,当公司向研究人员提供了修复程序的细节时,研究人员很快意识到这个补丁并没有解决所有的漏洞。
 
英特尔的工程师们忽略了研究人员提供的一些概念验证漏洞。但研究人员表示,即使没有看到这些漏洞,英特尔也应该能够自己发现额外的漏洞。
 
研究人员表示,英特尔选择了一种无效的方式来解决其芯片漏洞。它并没有修复可能需要重新设计处理器的核心问题,而是在发现每个变体时都打了补丁。
 
博斯说,“我们确信,还有大量的漏洞有待发现。”“在声誉受到威胁之前,他们不打算进行适当的安全工程。”
 
每当发现新的一类漏洞时,工程师修复代码以搜索已知和报告之外的问题的其他实例是标准实践。
 
研究人员认为,荷兰研究人员提供给英特尔的攻击变种与英特尔提供的补丁没有本质区别,因此英特尔应该能够自行推断并找到其他变种。
 
他们错过的很多攻击都是一些与其他攻击不同的代码。有时只有一行代码,”朱弗里达说。“这其中的含义当然令人担忧。这意味着,除非我们把问题的所有可能变化都告诉他们,否则他们不会真正解决问题。”
 
英特尔的罗森沃尔德说,公司已经通过对部分芯片进行硬件修复来解决核心问题,并将对其他芯片进行类似的修复。
 
尽管研究人员插科打诨,有关漏洞的讨论开始泄露。这些信息被如此松散地传递,以至于最终反馈给了研究人员。
 
博斯说,“越来越多的人知道这一弱点,以至于它实际上又回到了我们身边。”“所以他们给人一种错觉,以为自己控制了整个披露过程。但它完全不受控制;这是泄露。”
 
所有这一切意味着,尽管研究人员保持沉默,但其他想利用这些漏洞的人可能已经了解了它们。
 
“任何人都可以将其武器化。如果你不公开,情况会更糟,因为会有人利用这一点来对付那些实际上没有受到保护的用户,”拉扎维说。

 

浏览过本文章的用户还浏览过
  • 高德平台:最新的翻译设备

    忘记短语书,甚至是谷歌翻译。新的翻译设备越来越接近于复制巴别鱼的幻想。在《银河系漫游指南》中,巴别鱼坐在人的耳朵里,可以立即把任何外语翻译成用户自己的语言。 来自Timekettle的WT2 Plus人工智能翻译耳塞已经上市,而来自Wavery Labs的超耳大使计划 [详细]

  • 高德注册:苹果电脑年终清理清单

    毫无疑问,苹果创造了设计精美的机器。铝、玻璃和精炼技术的结合使一些最好的计算机成为可能。 在软件方面,macOS也不赖。拥有华丽的图形和简单、易用的界面,稳定的操作系统(由其Unix根源支持)是强大的,但它可以陷入困境,没有适当的维护。 没有更好的时间 [详细]

  • 高德代理:微软:创建quantum开发工具并提供对quantum系统的访问

    Julie Love讨论了微软q#编程语言和Quantum Developer Kit (QDK)的优点,以及Ignite的公告,包括与霍尼韦尔、IonQ和QCI的合作。 在奥兰多举行的微软点燃2019年量子计算大会上,詹姆斯桑德斯与微软量子业务发展高级总监朱莉洛夫就微软在量子计算领域的角色进行 [详细]

  • 高德注册:如何在iPad上使用外接鼠标

    使用iPadOS,您现在可以设置并使用iPad的外部鼠标。你可以使用连接到你的平板电脑上的Lightning或USB-C端口的有线鼠标,或者通过蓝牙连接的无线鼠标。一旦建立了连接,就可以像在PC上一样使用鼠标。根据你需要做的工作类型,外接鼠标可能比用手指在iPad上移 [详细]