Author Archives: helpnetsecurity

FPGAs是“乐高积木”还是“潘多拉的魔盒”?

卡尔斯鲁厄技术研究所科学家发现了攻击者利用FPGAs的多功能性使得狡猾的黑客能够进行所谓的旁道攻击。利用芯片的能量消耗来检索信息,从而破坏其加密。这种芯片内部测量使恶意云服务客户能够监视另一个客户。黑客不仅能够追踪到如此明显的电流消耗波动,他们甚至可以伪造这些波动。[……]

继续阅读

被“高危”漏洞忽悠的你,不过是主流媒体收割的流量

主流媒体越来越多地报道特别危险、普遍存在或其他显著的安全漏洞。在看到报道后,合作伙伴、监管者、高管和董事就可能会要求他们的安全团队立即采取行动,即使他们目前可能正在做比快速修补漏洞更重要的事情。

今天我们来讨论一个问题:

主流媒体越来越多地报道特别危[……]

继续阅读

谷歌一直在存储未清洗的G Suite客户密码

谷歌发现其已经以明文形式存储了一些G Suite用户的密码,并通知了G Suite管理员,如果在此期间没有更改受影响的密码,它将强制更改密码。安全风险并不大,攻击者必须破坏谷歌的基础设施并找到存储密码的解密密钥。[……]

继续阅读

PoC利用未修补的Windows 10零日缺陷在线发布

一位匿名黑客拥有在线别名“SandboxEscaper”,今天发布了针对Windows 10操作系统的新零日漏洞的概念验证(PoC)漏洞利用代码 – 这是他/她公开披露的第5次Windows零日攻击[ 1,2,3 ]在不到一年的时间。更多Windows零日漏洞即将到来[……]

继续阅读

数字化转型,你也许还缺少一份“安全方案”

IDC预测,2019年全球数字化转型支出将达到1.18万亿美元。然而,网络安全风险却成为数字化转型的一大挑战。企业要如何解决好这个问题,才能不妨碍公司数字化转型计划和战略的成功呢? 

[……]

继续阅读

英特尔MDS攻击缓解概述

      英特尔MDS攻击缓解概述无评论

英特尔宣称其部分CPU易受到新的投机性执行攻击,允许这些攻击的四个漏洞仅影响Intel制造的处理器。但许多服务器、台式机、笔记本电脑和智能手机中都可以找到这些功能。英特尔已经为许多受影响的CPU发布了微代码更新,还就缓解操作系统和驱动器开发人员、虚拟机监控开发人员、安全飞地中运行的软件开发人员和系统管理员可以部署的问题提供了建议。[……]

继续阅读

欧洲支付服务指令PSD2和强大的客户认证:所有元素都相同吗?

洲支付服务指令2(PSD2)包含对某些在线交易的额外安全功能的要求。这些安全要求称为强客户认证(SCA),认证过程的最终结果是生成一次性认证码,通常称为一次性密码(OTP)。虽然SCA还有其他功能和要求,但实际上PSD2已经强制要求双因子(2FA)或多因素身份验证(MFA),这是一种安全技术,如今已被许多金融机构很好地建立和使用。[……]

继续阅读