英特尔CPU又出现新的8个漏洞
2018-06-11 来源:
又是 Google 0Day项目 发现了英特尔intel cpu新的8个漏洞,这些漏洞被称为新一代幽灵漏洞(Specter-NG)或者幽灵天堂漏洞。intel、AMD及ARM都没有对漏洞细节置评。1月份 Meltdown漏洞补丁 和 Spectre漏洞补丁 就非常麻烦,这次不知道又会带来怎样的风波。
英特尔intel cpu新的8个漏洞
德国计算机杂志《c't》本周四报道称,研究人员在计算机CPU内找到8个新漏洞,这些漏洞与 Metldown漏洞 、 Spectre漏洞 有点相似。杂志还说,英特尔准备发布补丁,修复漏洞,ARM的一些芯片也受到影响,至于AMD芯片是否也存在同样的问题,研究人员正在调查。《c't》没有披露信息的来源,因为研究人员会优先通知相应公司,在公司找到修复补丁之后再公开自己的发现。
新一代幽灵漏洞或者幽灵天堂漏洞中的一个漏洞还是Google 0Day项目发现的
1月份,研究人员发现了Meltdown和Spectre漏洞, Google 0Day项目 就是最早发现的团队之一。这一次,其中一个漏洞也是Project Zero发现的,因为90天内禁止公开,所以在5月7日之前不能公布自己的发现。
英特尔代表拒绝对德国杂志描述的漏洞发表评论。在官网声明中,英特尔说它正在与客户、合作伙伴、其它芯片商、研究人员合作,一旦问题得到确认,会寻找办法缓解,整个过程牵涉到CVE编号保留块。声明称:
“我们相信协作披露有着巨大的价值,在缓解的过程中,一旦发现任何潜在问题,我们会及时披露的。”
AMD公司目前正在内部检查可用的信息。 AMD在媒体的要求下表示:
“ 安全和保护用户数据对于AMD至关重要,我们意识到这一点投机性执行漏洞我们正在调查此事,并希望在适当情况下共享信息 。“
另一方面,ARM则回应不想评论。
新一代幽灵漏洞或者幽灵天堂漏洞细节
对于新发现的漏洞,《c't》杂志没有透露太多细节。当Spectre、Meltdown出现时,研究人员曾说过,可能会有更多相似的漏洞冒出来,需要用补丁修复。
硬件安全公司Eclypsium CEO、前英特尔安全研究员尤里·布里金(Yuriy Bulygin)说:
“看看Metldown和Spectre造成的冲击,新漏洞可能会触动新一轮升级循环,时间漫长,过程痛苦,甚至可能牵涉到性能和稳定问题。给硬件打补丁是一件很棘手的事,希望在Metldown和Spectre的指引下,过程能变得更简单一些。”
布里金还说,在真实世界,还没有发现有黑客利用Spectre、Meltdown发起攻击,但是相似的攻击已经成为研究的热门新领域,一些心怀鬼胎的人可能已经开始研究新攻击手段。
其中某漏洞可从虚拟机中执行恶意代码并攻击主机 这对云提供商造成严重威胁
英特尔8大漏洞中的四个被其归为高风险,其余四个为“中等”。 但是,Specter NG其中一个漏洞,比知名的Spectre漏洞具有更高的威胁潜力 - 它可以在虚拟机的边界进行攻击。 攻击者可以在虚拟机中执行他们的恶意代码,并从那里攻击主机系统。 这对云托管服务商来说代表了巨大的安全风险 - 例如,用于数据传输的密码和密钥处于严重危险之中。 此外, 用于保护敏感数据的英特尔软件防护扩展SGX并不安全 。
来源:ghacks
转自: http://toutiao.secjia.com/intel-cpu-flaws
标签: Google 安全 代码 服务商 漏洞 媒体 问题 用户
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。
下一篇:光纤路由器爆认证旁路漏洞