欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

荷蘭埃因霍溫理工大學(xué)的安全研究人員近日公布，在英特爾 2011 年推出的 Thunderbolt 接口（雷電接口）標準中發(fā)現了多個(gè)安全漏洞，最新的第三代雷電接口標準也未能幸免。

研究報告列舉了七類(lèi)漏洞和與之配套的攻擊手段，比如固件驗證機制不完善，脆弱的設備認證機制，使用未經(jīng)身份驗證的設備元數據和使用未經(jīng)身份驗證的控制器配置等等。

這些漏洞可能影響到 2019 年之前所有配有雷電接口的電腦，包括兼容第三代雷電接口標準的 USB Type-C 接口。三大主流 PC 操作系統 Windows、Linux 和 MacOS 都受到波及，其中 MacOS 受到的影響最小，只有小部分攻擊方式對其“部分有效”。

在能夠物理接觸設備的前提下，即使用戶(hù)未登錄操作系統，電腦處于密碼保護狀態(tài)，甚至是硬盤(pán)經(jīng)過(guò)加密，也無(wú)濟于事——濫用漏洞的黑客可以在 5 分鐘內跳過(guò)筆記本的密碼登錄界面，實(shí)現無(wú)密碼訪(fǎng)問(wèn)。

圖 | 報告列舉七類(lèi)漏洞是否會(huì )影響三個(gè)系統（來(lái)源：Bj?rn Ruytenberg）

這種攻擊方式可以被歸類(lèi)為 “邪惡女仆（Evil Maid）” 攻擊的一種，主要針對已經(jīng)關(guān)機但無(wú)人看管的計算機，利用 U 盤(pán)，bootloader 引導程序和鍵盤(pán)記錄器等工具進(jìn)行非盜竊式入侵，以獲取登錄信息和其他機密數據為目的。

除了要求攻擊者能夠物理訪(fǎng)問(wèn)目標設備以外，這種攻擊實(shí)施起來(lái)并不困難，而新的雷電接口漏洞很可能讓 “邪惡女仆” 攻擊變得更簡(jiǎn)單，更具破壞力。

漏洞主要發(fā)現者是 Bj?rn Ruytenberg，除了安全漏洞研究員的身份，他還是荷蘭埃因霍溫理工大學(xué)計算機科學(xué)系的研究生。他將該漏洞命名為“Thunderspy”，呼應在 2016 年被發(fā)現的另一個(gè)雷電接口漏洞“Thunderclap”（2019 年才被公開(kāi)）。

對此英特爾回應稱(chēng)，“雖然安全人員提出了新的攻擊方式，但該漏洞并非最新發(fā)現，已經(jīng)在去年的操作系統更新中修復了?！?/p>

英特爾還在官方博客中強調，在運行 Windows 10 1803 RS4 版本及以上，Linux Kernel 5.x 版本及以上，MacOS 10.12.4 版本及以上的電腦上，都實(shí)施了 “直接內存訪(fǎng)問(wèn)（DMA）” 保護措施，以解決這一漏洞。

圖 | 英特爾回應過(guò)去已經(jīng)修復了類(lèi)似漏洞（來(lái)源：英特爾）

然而 Ruytenberg 不認同這種說(shuō)法。他表示，在實(shí)驗中，團隊沒(méi)有發(fā)現任何一臺戴爾電腦安裝了上述保護措施，只有部分惠普和聯(lián)想筆記本安裝了。

他還認為，有的漏洞不能通過(guò)純軟件的方式修復，因為它們本質(zhì)上與硬件設計有關(guān)，即使用戶(hù)在操作系統中調整了安全設置，也不能完全避免此類(lèi)攻擊。

在概念驗證視頻中，Ruytenberg 展示了一臺休眠的 2019 款聯(lián)想 ThinkPad，運行 Windows 系統并設置了密碼。

隨后他拆下了電腦后蓋，用自制攻擊設備連接了儲存雷電接口控制固件的 SPI 閃存，在另一臺筆記本上運行腳本禁用了接口的保護措施。然后再在 ThinkPad 的雷電接口上插入另一個(gè)自制破解設備，運行 PCI Leech 軟件（一種內核插入和攻擊工具）來(lái)跳過(guò) Windows 登錄界面。

最終，這臺原本需要密碼才能登錄的 ThinkPad，只需要在輸入密碼時(shí)敲下回車(chē)，就實(shí)現了無(wú)密碼訪(fǎng)問(wèn)。全過(guò)程只需要 5 分鐘，整套軟硬件工具只需要數百美元。

“完全修復漏洞需要重新設計硬件，目前只有在 BIOS 設置中徹底禁用雷電接口才能做到 100% 安全，”Ruytenberg 表示，“最好還要使用硬盤(pán)加密工具，在不需要的時(shí)候將筆記本關(guān)機?！?/p>

圖 | Ruytenberg 的自制破解工具

如前文所說(shuō)，這并非英特爾的 Thunderbolt 技術(shù)首次被爆出安全問(wèn)題，因為它依靠直接訪(fǎng)問(wèn)計算機內存來(lái)提供更快的數據傳輸速度，稍有不當就容易出現越權訪(fǎng)問(wèn)的安全隱患。

在 2016 年，有安全研究人員就發(fā)現了一個(gè)名為 “Thunderclap” 的漏洞，允許看似正常的 USB-C 或 DisplayPort 設備攻擊計算機。在 2019 年漏洞公開(kāi)后，蘋(píng)果和微軟表示自己早已修復了這一問(wèn)題。

針對新漏洞“Thunderspy”，惠普、聯(lián)想和戴爾等公司都回應了《連線(xiàn)》的置評請求。

惠普表示已經(jīng)在大部分商業(yè) PC 中提供了針對雷電接口 DMA 攻擊的防護措施，并且默認啟動(dòng)。聯(lián)想表示會(huì )進(jìn)一步評估最新研究，以合適的方式與消費者溝通。戴爾則表示消費者應該遵守最佳安全措施，避免電腦連接未知或不信任的設備。

目前尚不清楚英特爾是否會(huì )有其他舉措。