網路安全：AMD披露處理器安全漏洞、黑客攻破多款瀏覽器、Github隱藏惡意軟體

AMD的安全漏洞

AMD處理器晶元組安全漏洞的餘波在本周已經成為新聞焦點，熱度至今尚未平息。

首次的漏洞在周二的時候被公開，雖然關於漏洞的細節較少但卻被大肆宣揚。一些人認為此次的問題要麼是被過渡吹捧的，要麼是用來操縱AMD的股價的。他為本次的漏洞泄露發表辯護，並決定給AMD少於24小時的時間來解決問題。他說他不同意目前的給與廠商幾天甚至幾周的時間去準備更新包來做應急處理。

當其首席技術官Ilia Luk-Zilberman發布公開信之後，情況發生了改變。

他寫道:「我認為，更好的辦法是，在第0天通知公眾存在漏洞和影響。」

「通知公眾和供應商。除非已經修復了，否則不要透露實際的技術細節。將公眾的壓力從「get go」中轉嫁出去，但絕不能讓客戶處於危險之中。」

這也許是可能的，但公司並沒有在這一事件上完全掩蓋自己的榮耀，特別是因為攻擊者必須擁有管理員級別的PC訪問許可權才能工作。

然而，這些錯誤將被惡意軟體作者所採用，一旦任何惡意代碼進入系統，它將會是一個絕對的清除程序。

黑客在CanSecWest上攻破了多款主流瀏覽器

一年一度的CanSecWest安全會議在溫哥華舉行，這意味著頂級的瀏覽器和操作系統在Pwn2Own黑客競賽中遭受重創。

競爭非常簡單，如果黑客們能破壞系統，發現漏洞，他們就會得到獎勵。而公司將會利用黑客們發現的漏洞進行補救，來獲取更安全的網站和系統。今年共發放獎金267000美元，幾乎每個目標都被破解了。

儘管嘗試了三次，理查德?朱(Richard Zhu)仍攻破了微軟(Microsoft) Edge瀏覽器並拿到了70,000美金的獎金。Oracle VirtualBox也被攻破並被贏得了27,000的獎金。除此之外，黑客還使用3個bug拿下了蘋果的Safari瀏覽器，並贏得了6萬美元的獎金和一台免費筆記本電腦。

Zhu第二天又回來了，並且在Mozilla的Firefox瀏覽器上取得了更大的成功，贏得了5萬美元。他在Safari上的另一個嘗試是成功的，由於被時間限制而沒有獲得現金獎勵，但下一個團隊成功了並獲得了5萬美元的獎金。

今年的比賽比預期的要小。部分原因是一些團隊無法獲得攻擊代碼，也因為沒有任何中國團隊參與其中。中國已經決定保留自己的功績，而且這也被證明是對漏洞披露的事實。

Git被發現有隱藏惡意軟體

GitHub也經歷了糟糕的一周。這個網站不僅有潛在的版權問題，而且還被發現有一些惡意軟體。

研究人員發現了這個存儲庫，它隱藏了LokiBot，這是一個收集垃圾郵件的憑證。把它貼在GitHub上意味著任何機器都可以被重定向到下載，用戶以為他們下載的是Adobe的Flash，但其實是一個惡意軟體。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！