我要投搞

标签云

收藏小站

爱尚经典语录、名言、句子、散文、日志、唯美图片

当前位置:金算盘心水论坛 > 旁路 >

英特尔处理器再现旁路攻击漏洞:众厂商纷纷修补

归档日期:06-28       文本归类:旁路      文章编辑:爱尚语录

  英特尔在5月14日披露了4个可外泄机密资讯的处理器安全漏洞,研究人员已针对相关漏洞发展出ZombieLoad、RIDL及Fallout等多种攻击手法,而Google、苹果、微软、红帽及AWS等平台也在同一天加入修补行列。

  上述漏洞的共通点在于,它们都与推测执行(speculative execution)技术有关,会在处理器展开推测执行时出现旁路攻击漏洞,外泄系统上的信息。

  推测执行技术让处理器可于空闲时提前执行可能用得上的指令,以加速处理效能,只是迄今该技术已衍生出各种漏洞与攻击展示,涵盖Spectre、Meltdown及L1TF(Foreshadow)攻击。

  令人感到欣慰的,也许是这次的4个漏洞都是由英特尔的工程师自行发现,不过也有不少研究人员在这期间向英特尔提报同样的漏洞。

  相关漏洞影响绝大多数的英特尔处理器产品,英特尔已准备透过微码(Microcode)更新,来降低处理器遭骇的风险。

  这次的宣布是有备而来,英特尔联合安全社区与各大厂商都在同一天发表漏洞细节与修补程序。例如Google直接公布了各种产品受到相关漏洞影响的状态,包括已在Google架构上采取了缓解措施;大多数的Android设备不受影响;GCP平台上的某些服务需要使用者采取特定行动;Chrome则依赖所执行操作系统的修补;Chrome OS 75已部署缓解措施,也只影响基于英特尔处理器的产品。

  苹果则已于前一天释出的macOS Mojave 10.14.5修补了相关的推测执行漏洞,影响的是执行英特尔处理器的笔记本电脑和台式机,至于iOS设备或Apple Watch则未受波及。

  亚马逊则说,该平台已采取额外的保护机制来防范相关漏洞,也部署到EC2代管架构上,用户不需采取任何行动。此外,AWS也修补了Amazon Linux AMI 2018.03及Amazon Linux 2的核心及微码,建议用户立刻更新。

  至于微软同样释出了软件更新来协助用户缓解这些漏洞,而微软的云端服务也已采取了必要缓解措施,微软还提醒,安装相关的更新将会影响系统效能。

  【由于有了Spectre与Meltdown等前车之鉴,使用者应同时部署操作系统的修补程序与来自英特尔的微码更新,不论是微软或苹果都建议,若要更完整地缓解漏洞,最好也关闭超线程(Hyper-Threading),以避免数据在核心与使用者空间中传递时外泄。】

本文链接:http://izytravel.com/panglu/255.html