各位Buffer早上好,今天是 2019 年 5 月 23 日星期四。今天的早餐铺内容主要有:福布斯全球2000强企业HCL泄露大量员工和商业信息;数千万条Instagram名人信息泄露;Win10计划任务程序0-day漏洞攻击代码发布;谷歌发现G Suite漏洞,部分密码明文存储长达十四年;微软呼吁行业数据隐私问题需要联邦监管;禁用超线程才能完全缓解ZombieLoad 但性能下降高达 40%。
福布斯全球2000强企业HCL泄露大量员工和商业信息
数千万条Instagram名人信息泄露
Win10计划任务程序0-day漏洞攻击代码发布
谷歌发现G Suite漏洞:部分密码明文存储长达十四年
微软呼吁行业数据隐私问题需要联邦监管
据外媒报道,最近的隐私问题使得数据收集成为公众关注的焦点。在过去,科技公司采用的都是自我监管的方式,但现在,这个行业开始呼吁联邦监管。当地时间周一,微软副总裁兼副总法律顾问Julie Brill在一篇博文中对欧盟近一年前颁布的《通用数据保护条例(GDPR)》进行了反思。Brill认为,GDPR在改变科技公司处理个人数据的方式方面非常有效。Brill指出,GDPR已经激励其他一些国家采取类似的规定。她还赞赏自己的公司是“第一家将GDPR核心的数据控制权提供给全球客户,而不仅仅是欧洲客户的公司”。然而,这种自我监管在Brill看来还不够好。尽管加州和伊利诺斯州等州已经拥有强有力的数据保护法,但Brill认为,美国需要类似于联邦级别的GDPR。
禁用超线程才能完全缓解ZombieLoad 但性能下降高达 40%
上周 Intel 曝出影响 2011 年以来几乎所有芯片的漏洞 ZombieLoad,利用该漏洞,攻击者可以对芯片发起边信道攻击,在同一 CPU 上执行恶意进程,进而获取 CPU 的微架构缓冲器中的存储器内容。虽然 ZombieLoad 得到有价值数据的成本比较高,但是各大公司都十分重视这个漏洞,毕竟它影响了 2011 年以来几乎所有芯片,打击范围十分广泛。Intel 自己已经发布了微代码,从架构上缓解该问题,其它科技公司如苹果、微软与谷歌也都相继发布了补丁。
事实上,苹果和谷歌都已经警告 macOS 和 Chrome OS 用户禁用超线程可获得全面保护,并且谷歌现在默认从 Chrome OS 74 开始禁用超线程。但是禁用超线程的性能代价实在有点高。
