查看原文
其他

英特尔CPU又曝了漏洞,谷歌要向Oracle赔88亿!

安全狗 安全狗 2022-05-30

↑ 点击上方“安全狗”关注我们


前一段时间曝光的“幽灵”和“熔断”两个漏洞已经实实在在折腾了一遍整个IT行业,但是bug之神似乎并不打算放过我们。


就在近日,美国四所大学的一组学者发现了全新的边信道攻击方法,他们可以利用现代CPU中的推测执行功能来获取用户CPU数据,泄漏敏感数据和数据安全边界。


据介绍,这种边信道攻击方法与今年年初的 Meltdown 和 Specter 漏洞利效果相似,但研究人员这次利用的是CPU推测执行功能中的一个新片段。


这次曝光的漏洞被研究人员称作BranchScope。据介绍,这种攻击方法主要针对“分支预测”行为,这个特点与 Spectre 变体2(CVE-2017-5715)的漏洞利用方法十分相似。但Spectre 变体 2利用的是分支的目标缓冲区域(Branch Target Buffer),BranchScope 利用的是模式历史表(Pattern History Table)。



BranchScope 方法可以让攻击者取代 CPU 进行指令执行的决策。在这种方式之下,攻击者可以在计算机的特定区域上获取敏感信息。目前,研究员已经成功在因特尔处理器上通过了漏洞利用复现测试



比较让人感到不好的地方是,之前 针对 Spectre 的漏洞补丁无法应对这次发现的攻击方法的。



但研究团队表示情绪比较淡定,因为他们估计针对 BranchScope 攻击进行安全补丁的修复应该不是难题,虽然仍然需要从软件和硬件层面进行双重的修复工作。


英特尔官方表示

我们正在在与这些研究人员合作,目前已经了解到这个漏洞的细节信息了。我们预计现有的软件修复措施,可用于已知的边信道攻击,我们相信与研究界的密切合作会是保护客户及其数据的最佳途径之一。我们很感谢研究团队为之的努力工作。



今天还有一个重量级的新闻是,谷歌因为使用了Oracle的Java版权代码,需要向Oracle支付88亿美元的赔偿


这个案例一判,很多大佬都在哀嚎,为什么呢?因为这个案件的判处结果,确认了API也是受著作权法保护的




举个例子,某个人编写的程序里,虽然函数都是自己编写的,但使用了别人现成的函数接口信息,就有可能侵权!这个案例就是这样,谷歌为了使安卓兼容JAVA,抄了三十几个库的接口信息,花了三年时间自己编写了具体函数代码,Oracle买了Java,起诉谷歌抄袭接口信息软件著作权侵权。一审判决API不受著作权法保护,这次二审掰回来,又说API受保护。



美国法律一向很绕,文化差异太大以至于经常让我们产生“这都能判?!”“这都需要判?!”的即视感,这次狗哥尝试解读一下,希望不要把自己绕进去……


关于什么东西受《著作权法》保护,原则上是只保护表达而不保护思想。比如我们虚构一个疯狂的世界,这个世界的番茄贼硬,我们从来不会产生做番茄炒蛋这种异端的想法。


异端!异端!异端!


但有一天,你发表了一个重要结果,表明西红柿也是可以用你独创的高速合金钻头榨汁的,整篇论文作为“西红柿可以榨汁”的一种表达是受保护的,但“西红柿可以榨汁”作为一种思想就是不被保护的



但《著作权法》还有吸收原则,如果一种思想只有很少的几种表达方式,那么这个表达就被思想“吸收”了。比如那个疯狂的世界,番茄就只能用你发表的方法榨汁,那么这个表达也是不受保护的。


本案里的谷歌也是这样,一审中认为,API实际上就是函数接口信息,函数是功能,不受保护。而接口程序虽然是表达,但是如果谷歌为了兼容目的,仅能采用一种方式编写API,因此,API的表达被函数的功能吸收,故API不能受保护。


二审判决认为,不对,你们这些渣渣都错了!所谓表达方式有限不是“抄袭时”的表达方式有限,而是“创作时”的表达方式有限。换句话说,Sun在编写Java的API时,表达方式很多,编好了之后,你Google要抄当然只有一种抄法,不能因为和功能有结合而完全放弃对表达的保护;至于是否兼容,那是“合理使用”的问题,而不是受不受著作权法保护的问题。



狗哥从个人情感出发

认为这个判法反应了

美国法院的老头们不爱学习

不紧跟时代

是反技术的邪恶行为!


所以法律

特别是著作权法是很讨厌的东西。


完。


往期精彩文章:

是的,医疗云一直都不安全

315打假指南:先把你手机上的挖矿木马卸了先

警告:区块链面临着严峻的网络安全风险

她们,是互联网安全的守护者

招聘 | 月上柳梢头,人约……安全狗

“两会”时刻来临:安全狗严阵以待全程护航!

年终特辑 | 祥瑞御免,安全狗年!

最新网络安全全景图发布:安全狗持续保持云安全领先地位

史上最大漏洞出现:你的安卓、iPhone、电脑都不安全了!

我们第四次入选《中国网络安全企业》50强 增长率前十

2018年的云安全产品和服务是什么样的?

安全狗荣获金砖峰会“安保突出贡献单位“称号

云栖大会|当安全遇上云,安全狗引领网络安全新风尚

这两天在ISC的最大收获 就是大家对我们的热情

安全狗交卷!我们是金砖会晤最核心的网络安保力量!

从《网络安全法》首个判罚案例中,我们能学到什么?




您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存