#安全 #黑五▎Google ：发布新一代FIDO标准加密密钥

#安全 #黑五 ▎Google ：发布新一代FIDO标准加密密钥 谷歌近期推出了新一代的加密密钥Titan Security Key，旨在为用户的在线账户提供更强大的保护。 Titan Security Key内置了谷歌专门开发的特殊固件，用以验证密钥的完整性。升级后的Titan Security Key基于FIDO®开放标准构建，支持NFC，因此可以与许多应用程序和服务兼容。 此外，这款密钥还支持谷歌的最强安全方案高级保护计划。 ▎售价和购买 目前在日本、美国等地已经开始售卖，包邮到家。分为Type-C和USB-A 两种，其中USB-A 版本美区价格为30美金，Type-C为35美金。此外，USB-A 版本材质为ABS塑料且赠送一个C口转换器，而Type-C版本材质为锌合金和聚碳酸酯，不附送转换器。 日区价格更为实惠，USB-A 版本价格为191元人民币，Type-C为210元人民币。 ▎购买地址 频道 @AppDoDo

Google 帐户现在支持使用密钥代替密码和 2FA

Google 帐户现在支持使用密钥代替密码和 2FA 谷歌迈向无密码未来​的下一步是Passkeys，一种需要预先验证设备的新加密Passkeys解决方案将用于所有主要平台上的谷歌账户。从今天开始，谷歌用户可以在登录时切换到Passkeys，完全放弃密码和两步验证码。 Passkeys是一种更安全、更方便的密码替代方案，由谷歌、苹果、微软和其他与FIDO 联盟结盟的科技公司推出。他们可以用本地 PIN 或设备自身的生物识别身份验证（如指纹或面部 ID）取代传统密码和其他登录系统，如 2FA 或 SMS 验证。此生物识别数据不会与 Google（或任何其他第三方）共享，并且 Passkeys 仅存在于您的设备上，这提供了更高的安全性和保护，因为没有可能在网络钓鱼攻击中被盗的密码。 当您向 Google 帐户添加密钥时，该平台将在您登录时或检测到需要额外验证的潜在可疑活动时开始提示您输入密钥。谷歌账户的密码存储在任何兼容的硬件上例如运行 iOS 16 的 iPhone 和运行 Android 9 的安卓设备并且可以使用 iCloud 等服务或Dashlane和1Password等密码管理器（预计在“2023 年初”）。 您仍然可以使用其他人的设备临时访问您的 Google 帐户。选择“使用另一台设备的Passkeys”选项会创建一次性登录，不会将Passkeys转移到新硬件。正如谷歌指出的那样，你永远不应该在共享设备上创建密钥，因为任何可以访问和解锁该设备的人都可以访问你的谷歌帐户。 如果用户怀疑其他人可以访问该帐户，或者如果他们丢失了唯一存储密钥的设备，则用户可以立即在 Google 帐户设置中撤销Passkeys。谷歌表示，注册其的用户可以选择使用Passkeys代替他们通常的物理安全密钥，这是一项免费服务，可提供针对网络钓鱼和恶意应用程序的额外安全保护。

微软将允许用户通过GUI管理Windows 11上运行的Linux发行版

微软将允许用户通过GUI管理Windows 11上运行的Linux发行版 微软悄悄地在其 GitHub 列表中发布了一份关于 WSL 的提案。在 Github 上，该公司就使用 Dev Home 管理所有已安装的 Linux 发行版征求建议。该公司还分享了一些截图，展示了用于管理 Linux 发行版的图形用户界面的样子。微软希望通过创建一个用于管理 WSL 发行版的图形用户界面，让用户可以概览所有已安装的发行版，并更轻松地访问或管理它们。如下图所示，在 Windows 上与 Linux 发行版交互的唯一方法是使用终端。对于新用户来说，学习 WSL 和管理已安装的操作系统可能比较困难。有了 Dev Home 的卡片式布局界面，你可以监控已安装发行版的方方面面。UI 模型显示了 Dev Home 应用程序中名为 Windows Subsystem for Linux (WSL) 的新选项卡。该部分显示所有已安装的发行版，并提供多个自定义选项。它列出了正在使用的发行版的当前系统统计信息。你可以启动特定的发行版，甚至以特定用户的身份启动它。此外，还有按钮用于停止当前正在使用的发行版或启动另一个发行版。通过上下文菜单，用户可以卸载特定的发行版，将其设置为默认选项，或将其移动到其他位置。点击右上角的"+ 添加"按钮还可以添加新的发行版。最后，顶栏上还有一个关闭 WSL 的选项，可以轻松关闭该功能。与 Dev Home 集成后，WSL 将变得更具互动性，新的 WSL 集成考虑周全。开发人员计划加入挂载 Linux 格式磁盘的选项，并显示每个发行版的 WSL 虚拟机硬件利用率。此外，导入和导出发行版的选项也在列表中。我们喜欢这个模型，因为 WSL 已经省去了使用二级管理程序创建虚拟机和安装 Linux 的麻烦。目前，WSL 缺乏图形用户界面，新的更新可以帮助用户熟悉 Linux 和虚拟机。 ... PC版： 手机版：

Linux Kernel 6.6 正式发布

Linux Kernel 6.6 正式发布 Linus Torvalds 今天宣布 Linux 6.6 内核正式推出，引入了多项新功能、更新的新驱动程序以提供更好的硬件支持以及其他更改。 Linux 内核 6.6 现在可以直接从 Linus Torvalds 的或网站下载。 但是，你必须在 GNU/Linux 发行版上编译它。如果你不想自己动手编译，你就只能等待 Linux 6.6 出现你发行版的稳定软件存储库中。

研究人员发现英特尔和 AMD CPU 的一个新漏洞可取得加密密钥

研究人员发现英特尔和 AMD CPU 的一个新漏洞可取得加密密钥 研究人员周二说，英特尔、AMD和其他公司的微处理器含有一个新发现的弱点，远程攻击者可以利用这个弱点获得加密密钥和其他通过硬件传输的秘密数据。 硬件制造商早已知道，黑客可以通过测量芯片在处理这些数值时消耗的功率，从芯片中提取机密的密码学数据。幸运的是，利用电源分析攻击微处理器的手段是有限的，因为攻击者几乎没有可行的方法来远程测量处理秘密材料时的耗电量。现在，一个研究小组已经想出了如何将功率分析攻击转化为一种不同类型的侧信道攻击，这种攻击的要求相当低。 该团队发现，动态电压和频率缩放（DVFS）一种添加到每个现代CPU中的电源和热管理功能允许攻击者通过监测服务器响应特定的仔细查询所需的时间来推断功耗的变化。该发现大大减少了所需的内容。在了解了DVFS功能的工作原理后，电源侧信道攻击就变得更加简单，可以远程进行计时攻击。 研究人员将他们的攻击称为 Hertzbleed，因为它利用对 DVFS 的洞察力来暴露或泄露预计将保持私密的数据。该漏洞被跟踪为 Intel 芯片的 CVE-2022-24436 和 AMD CPU 的 CVE-2022-23823。

安全网站披露 Linux 内核漏洞允许远程接管

安全网站披露 Linux 内核漏洞允许远程接管 卡巴斯基实验室安全新闻服务 Threatpost 网站发布的消息说： 该漏洞（CVE-2021-43267）存在于允许Linux节点相互发送加密密钥的TIPC消息类型。 Linux内核的透明进程间通信（TIPC）模块中存在一个关键的堆溢出安全漏洞，可能允许本地利用和远程代码执行，导致系统完全被破坏。 TIPC是一个点对点协议，由Linux集群内的节点以优化的方式相互通信；它可以实现各种类型的消息，用于不同的目的。根据SentinelOne的SentinelLabs，有关的错误（CVE-2021-43267）特别存在于一种允许节点相互发送加密密钥的消息类型中。当收到时，这些密钥可用于解密来自发送节点的进一步通信。 漏洞详情：