大家好,今天小编关注到一个比较有意思的话题,就是关于计算机网络系统安全漏洞论文的问题,于是小编就整理了2个相关介绍计算机网络系统安全漏洞论文的解答,让我们一起看看吧。
最新曝光的幽灵安全漏洞新变种Spectre1.1,对处理器有多大影响?
来自麻省理工的 Vladimir Kiriansky 和咨询公司 Carl Waldspurger 的两位安全研究人员,刚刚发布了一篇揭露臭名昭著的“幽灵”(Spectre)安全漏洞新变种的论文,因其会产生投机性的缓冲区溢出。
论文中,两人解释了他们新发现的这个变种(Spectre 1.1 / CVE-2018-3693)可以如何攻击和防御。
对于处理器厂商来说,年初被曝光的该漏洞、以及后续陆续出现的多个其它变种,着实令业界感到头疼。而最新的 Spectre 1.1 漏洞,则利用了投机性的缓冲区溢出。
与经典的缓冲区溢出安全漏洞类似,Spectre 1.1 又被称作‘边界检查绕过存储’(简称 BCBS),将其与最原始的投机性执行攻击区分开来。
研究人员考虑将新变种归于 Spectre V1 家族的一个微小版本:
其在投机性执行窗口中使用了相同的开口(即有条件分支投机),但 Spectre 1.1 还是影响了数十亿的现代处理器(波及 Intel 和 AMD)。
研究人员称,预测缓冲区溢出使得本地攻击者可以在脆弱的系统上执行任意不受信任的代码。
通过边际信道分析(side-channel analysis)和投机缓冲区溢出(speculative buffer overflow),它可利用微处理器的投机性执行和分支预测来暴露敏感信息。
通过直接或重定向控制流,数据值攻击可以绕过一些 Spectre-v1 的缓解补丁。
控制流攻击允许任意投机代码的执行,它可以绕过栅栏指令和此前所有针对预测执行攻击的软件补救措施。
更可怕的是,研究人员还指出了所谓的 Spectre 1.2 漏洞!
作为幽灵漏洞的另一个小变体,其影响那些不会强行读/写保护和依赖于懒惰的 PTE 强制执行的处理器。
在一场 Spectre 1.2 攻击中,被允许的投机存储可覆写只读的数据、代码指针、以及代码元数据:
其包括 vtables、GOT / IAT、以及控制流缓解元数据,结果就是依赖于只读存储器的硬件执行沙箱都被无效化了。
研究人员已经在英特尔 x86 和 ARM 处理器上验证了 Spectre 1.1 和 Spectre 1.2 攻击:
对于 Spectre 1.1,推荐采取 SLoth 家族微架构缓解方案。对于芯片制造商来说,可在未来的处理器上部署所谓的‘流氓数据缓存存储’保护特性。
尽管研究人员认为通过处理器微代码更新即可完全缓解 Spectre 1.1 漏洞,但英特尔还是建议用户和操作系统供应商部署安全补丁,以应对在可预见的将来会出现的一些新变种。
Suprema Biostar 2系统曝出严重的安全漏洞,或导致怎样的后果?
近年来发生的多起大规模信息泄露事件,使得网络用户不得不修改那些不再安全的账户密码。
但若安全性更高的指纹数据被曝光,那后果就更加严重了。遗憾的是,这正是 Suprema Biostar 2 指纹锁身上所发生的事情。
【图自:vpnMentor,via BGR】
据悉,研究人员在 Suprema 的系统中发现了一个安全漏洞,使之能够访问超过 100 万人的身份验证数据。
英国《卫报》指出,这些数据包括了指纹 / 面部识别数据、未加密的用户名和密码、甚至员工的个人信息。
视频加载中...
【Report - Biostar 2 Data Leak】
鉴于 Suprema 生物识别认证系统有许多企业和公共机构大客户 —— 其中包括英国大都会警察局、国防承包商和银行 —— 甚至伤害美国、巴基斯坦、芬兰、印尼等地的跨国企业。
以色列研究人员 Noam Rotem、Ran Locar 与 vpnmentor 一起寻找到了 Suprema 的安全漏洞,并且获得了 Biostar 2 数据库的访问权限。
最令人震惊的是,在获得访问权限后,安全研究人员发现该数据库缺乏应有的保护,且大多数据处于未加密的存储状态,很容易访问到总量超过 2780 万条(23GB+)的记录。
除了敏感信息,安全研究人员还能够轻松监控存储的生物识别数据的实际使用情况。比如实时查看哪个用户通过特定的安全门进入任何设施,甚至查看到管理员账户的密码。
此外,研究人员能够编辑某人的帐户,在其中加入自己的指纹。因此从理论上来讲,攻击者可以突破所有需要授权进入的地方。
更令人不安的是,研究人员发现密码数据根本没有受到任何保护,使得黑客能够轻易复制指纹数据、并将之用于恶意目的。其在一篇论文中写到:
Suprema 未采用无法进行逆向工程的散列式指纹数据存储,而是偷工减料得让攻击者能够轻易复制实际的指纹数据、并将之用于恶意的目的。
即便如此,Suprema 营销主管 Andy Ahn 还是在接受《卫报》采访时称:此事并没有什么可担心的。
我司已对 vpnmentor 的报告进行了‘深入评估’,若威胁确实存在,Suprema 会立即采取行动并发布适当的公告,以保护我司客户宝贵的业务和资产。
然而目前尚不清楚是否有其他人在安全研究人员之前发现了同样的问题,并对这批数据展开了滥用。
到此,以上就是小编对于计算机网络系统安全漏洞论文的问题就介绍到这了,希望介绍关于计算机网络系统安全漏洞论文的2点解答对大家有用。
