AMD确认产品存在漏洞，将发布补丁

雨霁风光，春分天气。千花百卉争明媚。

各位 Buffer 早上好，今天是 2018 年  3 月 22 日星期四，农历二月初六。春光大好，早餐吃起来哦。今天份的 BUF 早餐主要有：AMD确认产品存在漏洞，将发布补丁；俄最高法院要求 Telegram 必须向 FSB 提供密钥以访问用户信息； 知名在线旅行网站 Expedia 亿客行旗下的 Orbitz 网站遭入侵，880000 份支付卡信息泄露； Chrome 插件 Social Book Post Manager 可以清除社交平台发布的信息； 黑客可利用Windows远程协助窃取敏感文件；质疑个人信息遭非法搜集，用户起诉支付宝索赔2元。

以下请看详细内容：

【国际时事】 AMD确认产品存在漏洞，将发布补丁

AMD首席技术官Mark Papermaster今天证实，CTS Labs 在 3 月 12 日发布的 RyzenFall、MasterKey、Fallout 和 Chimera 漏洞确实存在，并且影响了AMD Ryzen和EPYC系列处理器。

三个漏洞–MasterKey，Fallout和RyzenFall–影响AMD平台安全处理器（PSP）这是一个类似于英特尔管理引擎（ME）的安全芯片处理器，与其他AMD产品在硬件层面上就有所不同，通常它会处理安全数据，如密码，加密密钥等。

最后一个Chimera漏洞会影响管理处理器，内存和外设之间通信的AMD芯片组（主板组件），攻击者可以执行代码并将虚假信息传递给其他组件。

AMD 表示将在“未来几周内发布补丁。”[来源：bleepingcomputer]

俄最高法院要求 Telegram 必须向 FSB 提供密钥以访问用户信息

据外媒报道，俄罗斯最高法院近日要求即时通讯及加密通信服务商 Telegram 向俄罗斯联邦安全局（FSB）提供加密密钥，以便让政府能够访问用户数据。如果 Telegram 拒绝提供，俄罗斯将在其境内封杀 Telegram。

早在 2017 年 6 月，俄罗斯政府就曾威胁要封停 Telegram，因为其不愿意遵守俄罗斯新推出的数据保护条例。7 月，为了能在俄罗斯境内正常运行，Telegram 同意了一部分协议，但当时并未分享用户数据。Telegram 创始人 Pavel Durov 认为俄罗斯政府的要求“在技术上无法实现”，而且并不符合法规。他在 2017 年 9 月离开了俄罗斯，以示对俄罗斯政府的抗议。

俄罗斯在 2016 年通过了一项反恐法规，要求俄罗斯境内所有私企将与俄罗斯公民有关的数据都存储在当地服务器中。这项法规在当时引起过轩然大波。[来源：SecurityAffairs]

【数据泄露】

 旅行网站 Orbitz 遭入侵，880000 份支付卡信息泄露

Expedia亿客行是全球知名的全方位服务在线旅游网站，在 2015 年以 160 万美元收购了 Orbitz.com，增加了数百万用户。近日， Orbitz 确认网站在 2017 年 10 月 1 日 到 12 月 22 日期间遭到入侵，用户和商业伙伴的个人信息和财务数据都被窃取。泄露的具体信息包括姓名、生日、性别、电话号码、邮箱地址、实体地址和信用卡账单地址、支付卡数据等。

Orbitz 表示，现查明约有 880000 份支付卡的数据遭泄露。目前尚未有证据表明现在运行的 Orbitz 网站仍然处于风险之中，且用户的护照、旅行路线等信息也没有泄露。在 2016 年 1 月 1 日到 2016 年 6 月 22 日期间在线支付过的用户信息最有可能已经泄露，而 2016 年 1 月 1 日到 2017 年 12 月 22 日期间支付过的商业伙伴信息最有可能已经泄露。

目前，Orbitz 已经向执法部门上报数据泄露事件，调查正在进行。[来源：SecurityAffairs]

【系统安全】

 黑客可利用Windows远程协助窃取敏感文件