苹果的A/M芯片也被发现推测执行漏洞 苹果称将通过软件更新修复

苹果的A/M芯片也被发现推测执行漏洞苹果称将通过软件更新修复https://www.landian.vip/archives/100828.html研究人员利用漏洞绕过了Safari浏览器的安全机制,得以推测性的读取Safari浏览器中的数据。这个问题实际上影响的是WebKit内核,因此iOS/iPadOS上的第三方浏览器例如Chrome、Firefox也受影响。苹果确认这个问题的存在也发布了macOS的缓解措施,但缓解措施是默认禁用的。研究人员目前并未发现该漏洞被利用的证据,但这个漏洞被利用也不容易被发现。

相关推荐

封面图片

▎苹果M系列芯片存在硬件漏洞,软件层面修复困难

#互联网观察▎苹果M系列芯片存在硬件漏洞,软件层面修复困难研究人员针对苹果基于Arm架构自研的A系列和M系列芯片进行研究,发现这些芯片存在硬件漏洞,只能从软件层面修补。但如果在软件层面修复则会降低芯片的性能。研究人员通过设计恶意应用程序,利用上述漏洞,可以欺骗芯片的数据存取预取器(DMP),将与密钥相关的数据放入缓存中,从而重构出密钥获取电脑上的重要隐私。苹果表示该公司已经计划在未来通过软件更新彻底解决这个漏洞。▎新闻引用https://www.zetter-zeroday.com/apple-chips/频道@AppDoDo
封面图片

苹果发布更新修复两个关键的安全漏洞

苹果发布更新修复两个关键的安全漏洞苹果公司本周为iPhone、iPad和Mac发布了重要的软件更新,修复了苹果公司已知的被攻击者积极利用的两个安全漏洞。这两个漏洞是在WebKit(为Safari和其他应用程序提供动力的浏览器引擎)和内核(基本上是操作系统的核心)发现的。这两个漏洞同时影响了iOS和iPadOS以及macOSMonterey。苹果公司说,如果有漏洞的设备访问或处理"恶意制作的网页内容可能导致任意代码执行",WebKit的漏洞就会被利用,而第二个漏洞允许恶意应用程序"以内核权限执行任意代码",这意味着对设备的完全访问。这两个缺陷被认为是相关的。...苹果公司表示,iPhone6s及以后的机型、iPadAir2及以后的机型、iPad第五代及以后的机型、iPadmini4及以后的机型和iPodtouch(第七代),以及所有iPadPro机型都受到影响。——
封面图片

【Chrome浏览器紧急修复了一个已经发现有在野利用的安全漏洞】

【Chrome浏览器紧急修复了一个已经发现有在野利用的安全漏洞】2023年04月17日10点58分4月17日消息,Chrome浏览器紧急修复了一个已经发现有在野利用的安全漏洞(CVE编号:CVE-2023-2033),利用该漏洞,受害者只要浏览了攻击者精心构造的恶意页面,攻击者即可在受影响的设备上执行任意代码,所造成的危害包括但不限于盗取比特币私钥、盗取通讯录、相册等敏感文件等,建议立即升级以避免被攻击。如果使用的是诸如MicrosoftEdge、猎豹浏览器、360安全浏览器等等使用了Chrome内核的浏览器的话,也需要升级至带有最新版本。(SecurityOnline)
封面图片

MIT 研究人员发现苹果 M1 芯片无法修复的硬件漏洞

MIT研究人员发现苹果M1芯片无法修复的硬件漏洞MIT研究人员发现苹果M1芯片存在一个无法修复的硬件漏洞,允许攻击者突破最后一道安全防线。漏洞存在于M1芯片硬件层安全机制PAC(pointerauthenticationcodes)中。PAC旨在加大向硬件内存注入恶意代码的难度,为抵御缓冲区溢出漏洞增加一层防御。但MIT的研究人员开发出了一种新颖的硬件攻击Pacman,利用预测执行泄露PAC验证结果。研究人员证明该攻击对系统内核也有效。攻击是在本地进行的,攻击者需要登陆进系统并安装一个定制的kext,操作难度很大。——IEEESpectrum,solidot
封面图片

Chrome 发现严重漏洞,可导致浏览器崩溃可破坏用户数据

Chrome发现严重漏洞,可导致浏览器崩溃可破坏用户数据2月中旬,「零日漏洞」在Chrome被安全研究人员发现,「零日漏洞」(zero-day)又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞,这种攻击往往具有很大的突发性与破坏性。强大如Google也遭到这一「待遇」。据Google相关证据表明,在Chrome已经发现黑客利用该漏洞发起攻击一事,最重要的是在Chrome浏览器Animation代码中发现的「useafterfree」漏洞。该漏洞可以导致浏览器崩溃,也可以配合其他行动破坏用户数据,植入并启动恶意代码造成各种混乱。这段时间谨慎利用Chrome里面种种程式,如果要使用,那么一定要彻底地检测它们,如果不这样做,可能会损失惨重。让人安心点的就是,Chrome浏览器已经准备好更新,以修补这个最为严重的高危漏洞,之后的时间里将修补另外的10个漏洞,为安全起见,请即时更新至Chromev98.0.4758以上。——Qooah
封面图片

苹果公司 M 系列芯片中新发现的漏洞或造成钱包密钥泄露

苹果公司M系列芯片中新发现的漏洞或造成钱包密钥泄露3月22日消息,苹果公司M系列芯片中新发现的漏洞或造成钱包密钥泄露。该漏洞是一个侧通道,当苹果芯片运行加密钱包时,它允许端到端的密钥提取,但这个缺陷无法直接修补,因为它源于芯片本身的微架构设计。相反,只能通过在第三方加密软件中建立防御措施来缓解这一问题,这些软件在执行加密操作时会大幅降低M系列的性能,尤其是在早期的M1和M2代产品上。当目标加密操作和具有正常用户系统权限的恶意应用程序在同一CPU集群上运行时,该漏洞就会被利用。

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人