过去五年的英特尔芯片都包含无法修复的漏洞。比如漏洞 CVE-2019-0090 位于英特尔 CPU 和芯片组子系统 CSME 的掩模型只读存储器（mask ROM）中，无法通过更新固件修复。

安全公司 Positive Technologies 的专家称，问题不只是不可能修复处理器和芯片组掩模型只读存储器硬编码的固件错误，更令人担忧的是漏洞允许硬件层级的入侵，从整体上破坏了平台的信任链。

成功利用该漏洞的攻击者可以绕过英特尔 EPID 提供的安全保护，让提取芯片组加密密钥成为可能。而这个加密密钥不是平台特定的，英特尔同一代芯片组都使用相同的单一密钥。

Positive Technologies 担心提取出密钥只是时间问题。一旦密钥泄露，混乱将会发生，硬件 ID 将能伪造，数字内容将能被提取，硬盘加密的内容将能被解密。

英特尔表示它正在尝试屏蔽任何可能的利用矢量，但安全研究人员指出芯片巨人目前释出的补丁只能阻挡其中一种。

来源：solidot.org

更多资讯

研究人员警告 Kilos 正在成为暗网界的谷歌搜索引擎

Kilos 不只是衡量体重的标准，因为某个灰暗的搜索引擎也用了这个名称。近日，Digital Shadows 在一篇博客文章中指出，该搜索引擎“正在成为互联网黑帮中的 Google”。据悉，Kilos 似乎从早前的 Grams 搜索引擎演变而来，且其页面样式明显有模仿 Google 的痕迹。

来源：cnBeta.COM

DuckDuckGo 分享追踪雷达数据库 致力加强线上隐私保护

DuckDuckGo 致力于提供隐私优先的搜索体验，近日，其再次升级了隐私保护措施，以努力阻止针对用户的线上追踪。这家搜索引擎与浏览器技术制造商周四表示，其已分享“追踪雷达”（Tracker Radar）数据集，其中详细列出了 1727 家线上追踪企业和组织所使用的 5326 个互联网域名。

来源：cnBeta.COM

微软：99.9% 的被黑账户没有使用多因素身份认证

在上周的 RSA 安全会议上，微软的工程师称，他们每个月追踪的 99.9% 的被攻击账户没有使用多因素身份验证，而这种解决方案可以阻止大多数自动账户攻击。

来源：ChinaZ 站长之家

（信息来源于网络，安华金和搜集整理）