英特尔爆高危漏洞AMD免疫英特尔这次曝光的漏洞命名为剧透。这个漏洞和之前英特尔曝光的ghost漏洞很像,具体表现就是剧透漏洞会泄露用户的隐私数据。此漏洞是由英特尔处理器内存子系统的设计缺陷造成的。这让很多网友对英特尔极度失望。毕竟每个漏洞都有英特尔,大部分人的CPU都是英特尔买的。想到自己的电脑存在漏洞,当然是不舒服的,即使漏洞不会对所有人造成任何影响。
近日曝光的新型LVI漏洞,对英特尔处理器有多大的影响?
推测执行是所有现代 CPU 都具有的一项功能,以提升系统的整体的表现。然而早些年曝光的幽灵Spectre和熔毁Meltdown漏洞,已经为芯片设计行业敲响了警钟。今天,来自世界各地大学的一支学者和比特梵德Bitdefender的漏洞研究人员一道,揭示了英特尔处理器中加载值注入简称 LVI新安全漏洞。
尽管被视作一种理论上的威胁,但英特尔还是发布了相应的固件补丁,以减轻对当前 CPU 的攻击影响,并且会在下一代硬件设计中部署修复。要了解什么是 LVI 公司,首先得知晓幽灵Spectre和熔毁Meltdown漏洞 —— 尤其是后者!2018 年 1 月公布的 Meltdown 漏洞,运行攻击者在 CPU 上运行推测执行代码操作时,从缓存中读取数据。
作为现代 CPU 设计的一项独特功能,其允许 CPU 预先准备好相应的数据,以帮助提升处理器的速度和性能。若推测执行没有命中,则会将之丢弃。然而 Meltdown 和 Spectre 漏洞的诡异之处,就是能够在瞬态间攻击目标数据。作为 2018 年的一个重磅炸弹,Meltdown 和 Spectre 攻击表明现代 CPU 设计存在重大的缺陷。
基于原始的攻击方案,世界各地的学者进一步扩大了研究范围,整理出了一套套类似的瞬态攻击。于是在过去两年,我们还见到了包括 ForeshadowZombieloadRIDLFallout 和 LazyFP 等在内的一系列 CPU 推测执行攻击漏洞。理论上,新曝光的 LVI 攻击,就是反其道而行之的 Meltdown 漏洞。
尽管原始的 Meltdown 漏洞允许攻击者在瞬时过渡时从 CPU 缓存中读取应用程序的数据,但 LVI 允许攻击者将代码注入 CPU并使之作为临时操作执行,从而使得攻击者能够更好地控制。两个研究小组开展的测试表明,LVI 攻击彼此独立,成功地证明了攻击的影响有多广泛。例如,学术研究团队专注于从英特尔 SGX 安全区泄漏数据加密密钥,而 Bitdefender 则专注于证明攻击对云环境的影响。
其表示,这种攻击在多租户环境例如数据中心中的企业工作站或服务器中尤其具有破坏性。在此环境下,一个特权较低的租户,将能够从特权更高的用户或其它虚拟机管理程序中泄漏敏感信息。当 Meltdown 在 2018 年 1 月被首次曝光时,英特尔最初表示其仅需固件补丁,而 Spectre 攻击则需要修改 CPU 的硅片设计。
怎样看此次英特尔CPU漏洞?
价值兄认为,本次的英特尔的重大安全漏洞,让很多电脑都会中招,甚至是10年前电脑都受影响。为此,国内互联网巨头们阿里腾讯和百度都第一时间进行了回应1月4日,据价值兄了解,今日有多家媒体报道称,英特尔处理器曝出安全漏洞。该漏洞将会引发极大安全危害,英特尔股价甚至因此大跌6%。据了解,英特尔此次漏洞导致本来单独用于保护密码等重要信息的存储区,可能会让一些软件程序获取权限,这使得过去十年间所有使用英特尔芯片的电脑都受到影响,包括WindowsLinux和 苹果MacOS X操作系统。
今天上午,英特尔发声反对此事,称媒体对此事的报道不准确,正在与AMDARM和软件厂商合作解决这一问题。其他公司的芯片也有同样的问题。亚马逊和谷歌是受影响最大的三家云计算厂商。如果漏洞被利用,同一物理空间的虚拟用户A可以任意访问另一个虚拟用户B的数据,包括受保护的密码应用密钥等。
