2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
英特爾芯片中發(fā)現(xiàn)了一個漏洞,該漏洞可用于直接從處理器竊取敏感信息,被稱為ZombieLoad。進一步增加恐懼,黑客也可以在云服務(wù)器上運行,這可能允許攻擊者竊取在同一臺PC上運行的其他虛擬機的信息。
最初的報告來自奧地利格拉茨科技大學的Michael Schwarz,Moritz Lipp和Daniel Gruss。該名稱是由于黑客“恢復”隱私瀏覽歷史記錄和其他敏感數(shù)據(jù)的方式。
研究人員寫道:“雖然程序通常只能看到自己的數(shù)據(jù),但惡意程序可以利用填充緩沖區(qū)來獲取當前由其他正在運行的程序處理的秘密。”
“這些秘密可以是用戶級別的秘密,例如瀏覽器歷史記錄,網(wǎng)站內(nèi)容,用戶密鑰和密碼,或系統(tǒng)級密碼,例如磁盤加密密鑰。攻擊不僅可以在個人計算機上運行,??還可以在云端。”
英特爾產(chǎn)品保障和安全部門高級主管Bryan Jorgensen說:“這些是英特爾首先發(fā)現(xiàn)的,并由其他安全研究人員獨立向我們報告。”“這些技術(shù)利用推測操作來訪問CPU中的微體系結(jié)構(gòu)中的數(shù)據(jù),以通過輔助通道暴露信息。據(jù)英特爾稱,它首先了解這個問題,并一直與研究人員合作。它還有一個更具技術(shù)性(而且不太有趣)的漏洞名稱 -微架構(gòu)數(shù)據(jù)采樣(簡稱MDS),它已經(jīng)在許多最近的第8代和第9代英特爾酷睿處理器的硬件層面上得到了解決。作為第二代英特爾至強可擴展處理器系列。
“這些結(jié)構(gòu)很小并且經(jīng)常被覆蓋。但是,如果有足夠大的數(shù)據(jù)樣本,時間或?qū)δ繕讼到y(tǒng)行為的控制,MDS可能會為攻擊者提供一些方法來瞥見他們無法看到的信息。”
雖然似乎有可能引起恐慌,但英特爾建議要記住一些注意事項。令人欣慰的是,在研究環(huán)境之外沒有已知的MDS漏洞,而且根據(jù)英特爾的說法,在現(xiàn)實世界中成功地做到這一點是一件復雜的事情。
即便如此,該公司已發(fā)布微碼更新,以幫助解決這一潛在風險。但是,像大多數(shù)僵尸電影一樣,社區(qū)必須齊心協(xié)力打擊不死生物的囤積,英特爾正在尋求制造商和客戶社區(qū)的幫助。它的補丁來自系統(tǒng)制造商的固件更新,使您的計算機軟件能夠覆蓋這些小型結(jié)構(gòu)。這些與OS或虛擬化軟件提供商的更新一起工作,這意味著用戶還需要通過更新他們的PC來幫助保護系統(tǒng)。
ZombieLoad是研究人員發(fā)現(xiàn)的三個安全漏洞之一,其中Fallout和Rogue飛行數(shù)據(jù)加載(RIDL)是另外兩個,但正如英特爾所說,沒有任何報告任何漏洞利用。它似乎也只是英特爾芯片作為競爭對手,AMD稱由于其架構(gòu)中的硬件保護檢查,其產(chǎn)品不易受“輻射”,“RIDL”或“ZombieLoad攻擊”的影響。
“我們未能在AMD產(chǎn)品上展示這些漏洞,并且沒有意識到其他人已經(jīng)這樣做了,”這家半導體公司表示。
英特爾的這一迅速行動表明,它已經(jīng)從以前的安全爭議中吸取了教訓,例如Meltdown和Spectre的缺陷導致針對芯片制造商的32起集體訴訟。
2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。