2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
一組研究人員在Thunderbolt數(shù)據(jù)傳輸規(guī)范中發(fā)現(xiàn)了一個(gè)名為“ Thunderclap ” 的新安全漏洞,該漏洞可能使計(jì)算機(jī)受到其他無(wú)害的USB-C或DisplayPort硬件的嚴(yán)重攻擊。
正如研究人員Theo Markettos所解釋的那樣,Thunderclap利用Thunderbolt附件授予的特權(quán)直接內(nèi)存訪問(wèn)(DMA)來(lái)訪問(wèn)目標(biāo)設(shè)備。除非采取適當(dāng)?shù)谋Wo(hù)措施,否則黑客可以使用該訪問(wèn)權(quán)來(lái)竊取數(shù)據(jù),跟蹤文件和運(yùn)行惡意代碼。
這是一種操作系統(tǒng)級(jí)別的訪問(wèn),通常授予GPU或網(wǎng)卡等附件。由于Thunderbolt旨在從外部復(fù)制這些功能,因此需要相同級(jí)別的訪問(wèn)權(quán)限,但設(shè)置的外部特性使其更容易受到攻擊。從根本上說(shuō),將惡意設(shè)備插入端口比破解打開(kāi)某人的計(jì)算機(jī)并插入被黑客入侵的圖形卡更容易。
Thunderclap漏洞并非Thunderbolt 3獨(dú)有; 基于DisplayPort而不是USB-C的舊型Thunderbolt設(shè)備在理論上也存在風(fēng)險(xiǎn)。
Markettos和他的團(tuán)隊(duì)在2016年發(fā)現(xiàn)了這個(gè)漏洞,并且已經(jīng)將它發(fā)布給那些一直在開(kāi)發(fā)修復(fù)程序的制造商:Apple在同一年的macOS 10.12.4中針對(duì)該漏洞的特定部分進(jìn)行了修復(fù),并且最近更新的Mac應(yīng)該是保護(hù)免受攻擊。Windows 10版本1803還可以針對(duì)較新設(shè)備的固件級(jí)別防范此漏洞。
這不是大多數(shù)用戶通常會(huì)遇到的那種攻擊。(黑客使用特別有毒的USB-C設(shè)備通過(guò)冒充假的GPU來(lái)瞄準(zhǔn)計(jì)算機(jī)通常不適合大多數(shù)人。)但這是一個(gè)很好的提醒,你應(yīng)該小心將你的計(jì)算機(jī)插入配件或充電器不信任。
即使Thunderclap甚至沒(méi)有打到你的設(shè)備,它也強(qiáng)調(diào)即使我們的最佳標(biāo)準(zhǔn)也不完美,即使對(duì)于Thunderbolt所代表的外圍設(shè)備行業(yè)的高端方面也是如此。
2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。