>> NVDIA的Tegra芯片爆出一个严重漏洞,被命名为Fusée Gelée。这个漏洞的发现者Kate Temkin介绍,这个漏洞利用了一个冷启动的缺陷,从而攻击者可以通过Tegra的恢复模式(RCM),从初期的bootroom执行完整而不需要被认证的任何代码。因为该代码在电源管理处理器(BPMP)上执行,因此它优先于任何锁定保护措施的启动。所以,该代码可以获取整个处理器的根信任(root-of-trust)。
Temkin在技术文档( http://misc.ktemkin.com/fusee_gelee_nvidia.pdf )中提到,黑客可以用特制的USB获取BPMP的控制权。之后攻击者可以执行命令,将代码载入CPU主处理器,然后该代码能在可能的最高的权限被执行。该漏洞与软件堆栈无关,但是破解需要能直接接触到硬件,无法远程利用。
发现者表示,该漏洞是由于只读bootrom中的代码错误造成的。而该漏洞一旦离厂就无法修复,因此会一直伴随着设备。这个显卡的影响面很大,该漏洞很可能直接导致Switch主机被破解。
>> IBM安全的CTO Muppidi近日表达了自己对安全的看法。他说:“IBM安全非常简单:就是让坏人待外面,让好人进来。”Muppidi还表示,IBM安全也肩负着了解不同威胁以及他们对组织带来的风险这个重任。
在Muppidi看来,安全不应该只是一个产品或者一个服务;他认为安全应该是一个准则,这个准则可以转型为程序、规范、解决方案或者产品。Muppidi也提到了AI安全。他认为AI安全需要注意两点:可信任的数据来源是安全AI模型的基础,以及一个不断改进的模型来抵御数据噪声和篡改。
>> 被号称为“全球最大的的DDoS市场”的webstresser.org的IT管理员近日被警方逮捕。欧洲警方表示,该网站有13.6万的注册用户,并且截止2018年4月已经进行了四百万次攻击。欧洲警方已经将网站关闭。
据称,用户最低只需要每个月支付15英镑就可以利用网站的资源进行黑客攻击,而用户本身甚至不需要很深的技术能力。今年早期最大的DDoS攻击是针对GitHub的1.3Tbps攻击,而这个记录在几天后就被一个针对美国服务供应商的1.7TTbps的攻击打破。
本文转自 安全牛,原文链接:https://mp.weixin.qq.com/s/8rIYcWcjJyjxKIPG1o9BJw