您的位置: 首頁(yè) >科技 >

英特爾需要其社區(qū)來(lái)對(duì)抗ZombieLoad

2022-08-26 23:31:20 編輯:甄建江 來(lái)源:
導(dǎo)讀 英特爾芯片中發(fā)現(xiàn)了一個(gè)漏洞,該漏洞可用于直接從處理器竊取敏感信息,被稱為ZombieLoad。進(jìn)一步增加恐懼,黑客也可以在云服務(wù)器上運(yùn)行,這...

英特爾芯片中發(fā)現(xiàn)了一個(gè)漏洞,該漏洞可用于直接從處理器竊取敏感信息,被稱為ZombieLoad。進(jìn)一步增加恐懼,黑客也可以在云服務(wù)器上運(yùn)行,這可能允許攻擊者竊取在同一臺(tái)PC上運(yùn)行的其他虛擬機(jī)的信息。

最初的報(bào)告來(lái)自?shī)W地利格拉茨科技大學(xué)的Michael Schwarz,Moritz Lipp和Daniel Gruss。該名稱是由于黑客“恢復(fù)”隱私瀏覽歷史記錄和其他敏感數(shù)據(jù)的方式。

研究人員寫道:“雖然程序通常只能看到自己的數(shù)據(jù),但惡意程序可以利用填充緩沖區(qū)來(lái)獲取當(dāng)前由其他正在運(yùn)行的程序處理的秘密。”

“這些秘密可以是用戶級(jí)別的秘密,例如瀏覽器歷史記錄,網(wǎng)站內(nèi)容,用戶密鑰和密碼,或系統(tǒng)級(jí)密碼,例如磁盤加密密鑰。攻擊不僅可以在個(gè)人計(jì)算機(jī)上運(yùn)行,??還可以在云端。”

英特爾產(chǎn)品保障和安全部門高級(jí)主管Bryan Jorgensen說(shuō):“這些是英特爾首先發(fā)現(xiàn)的,并由其他安全研究人員獨(dú)立向我們報(bào)告。”“這些技術(shù)利用推測(cè)操作來(lái)訪問(wèn)CPU中的微體系結(jié)構(gòu)中的數(shù)據(jù),以通過(guò)輔助通道暴露信息。據(jù)英特爾稱,它首先了解這個(gè)問(wèn)題,并一直與研究人員合作。它還有一個(gè)更具技術(shù)性(而且不太有趣)的漏洞名稱 -微架構(gòu)數(shù)據(jù)采樣(簡(jiǎn)稱MDS),它已經(jīng)在許多最近的第8代和第9代英特爾酷睿處理器的硬件層面上得到了解決。作為第二代英特爾至強(qiáng)可擴(kuò)展處理器系列。

“這些結(jié)構(gòu)很小并且經(jīng)常被覆蓋。但是,如果有足夠大的數(shù)據(jù)樣本,時(shí)間或?qū)δ繕?biāo)系統(tǒng)行為的控制,MDS可能會(huì)為攻擊者提供一些方法來(lái)瞥見他們無(wú)法看到的信息。”

雖然似乎有可能引起恐慌,但英特爾建議要記住一些注意事項(xiàng)。令人欣慰的是,在研究環(huán)境之外沒有已知的MDS漏洞,而且根據(jù)英特爾的說(shuō)法,在現(xiàn)實(shí)世界中成功地做到這一點(diǎn)是一件復(fù)雜的事情。

即便如此,該公司已發(fā)布微碼更新,以幫助解決這一潛在風(fēng)險(xiǎn)。但是,像大多數(shù)僵尸電影一樣,社區(qū)必須齊心協(xié)力打擊不死生物的囤積,英特爾正在尋求制造商和客戶社區(qū)的幫助。它的補(bǔ)丁來(lái)自系統(tǒng)制造商的固件更新,使您的計(jì)算機(jī)軟件能夠覆蓋這些小型結(jié)構(gòu)。這些與OS或虛擬化軟件提供商的更新一起工作,這意味著用戶還需要通過(guò)更新他們的PC來(lái)幫助保護(hù)系統(tǒng)。

ZombieLoad是研究人員發(fā)現(xiàn)的三個(gè)安全漏洞之一,其中Fallout和Rogue飛行數(shù)據(jù)加載(RIDL)是另外兩個(gè),但正如英特爾所說(shuō),沒有任何報(bào)告任何漏洞利用。它似乎也只是英特爾芯片作為競(jìng)爭(zhēng)對(duì)手,AMD稱由于其架構(gòu)中的硬件保護(hù)檢查,其產(chǎn)品不易受“輻射”,“RIDL”或“ZombieLoad攻擊”的影響。

“我們未能在AMD產(chǎn)品上展示這些漏洞,并且沒有意識(shí)到其他人已經(jīng)這樣做了,”這家半導(dǎo)體公司表示。

英特爾的這一迅速行動(dòng)表明,它已經(jīng)從以前的安全爭(zhēng)議中吸取了教訓(xùn),例如Meltdown和Spectre的缺陷導(dǎo)致針對(duì)芯片制造商的32起集體訴訟。


免責(zé)聲明:本文由用戶上傳,如有侵權(quán)請(qǐng)聯(lián)系刪除!

最新文章

精彩推薦

圖文推薦

點(diǎn)擊排行

2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082   備案號(hào):閩ICP備19027007號(hào)-6

本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。