8個CPU新漏洞英特爾怎么了安全缺陷有多大？

來源:techweb.com.cn 2018-05-04 18:17 http://www.d-black.cn/

　　5月4日消息，據(jù)國外媒體報道，英特爾表示，在為其他公司的操作系統(tǒng)開發(fā)特定修補程序時，將在不久的將來披露現(xiàn)代處理器中發(fā)現(xiàn)的八個新的安全缺陷。英特爾并未直接處理c#雜志的報告，而是確認保留了常見漏洞和暴露( CVE )編號，這是針對可能問題的調(diào)查和緩解流程的一部分。

　　英特爾Leslie Culbertson在5月3日星期四的一份聲明中說:“我們堅信協(xié)調(diào)披露的價值，并將在我們最終確定緩解措施時分享任何潛在問題的更多細節(jié)。作為一項最佳做法，我們會繼續(xù)鼓勵每個人更新他們的系統(tǒng)。”

　　根據(jù)該報告，熔毀和幽靈并不是現(xiàn)代處理器設(shè)計中發(fā)現(xiàn)的最后一個缺陷。據(jù)報道，幾個研究團隊已經(jīng)向英特爾披露了8個新的安全缺陷，所有這些缺陷都源于相同的設(shè)計問題。關(guān)于這八個缺陷的細節(jié)還不清楚，但他們現(xiàn)在被稱為幽靈下一代。

　　幽靈的下一代補丁應該分兩波提供：第一波在5月，第二波在8月。英特爾將四個漏洞歸類為“高風險”，因此我們預計將在本月看到這些緩解措施，而“中等”漏洞可能在今年夏天得到修復。

　　據(jù)報告，這些缺陷類似于最初的Spectre漏洞利用，但比Spectre變體1和變體2造成更高風險的漏洞除外。它可以允許黑客在虛擬機中啟動惡意代碼，虛擬機是功能齊全的PC的軟件仿真。它們通常用于企業(yè)環(huán)境，以降低硬件成本并在高性能數(shù)據(jù)中心服務(wù)器上運行。

　　但是，利用該漏洞，黑客可以通過虛擬機攻擊主機服務(wù)器，使個人可以訪問存儲在服務(wù)器內(nèi)存中的所有信息。當服務(wù)器同時運行多個虛擬機時，這是一個問題。

　　報告稱:“用于安全數(shù)據(jù)傳輸?shù)拿艽a和密鑰是云系統(tǒng)上備受追捧的目標，并因這一差距而受到嚴重威脅。英特爾的軟件保護擴展( SGX )旨在保護云服務(wù)器上的敏感數(shù)據(jù)，但也不安全。”

　　與崩潰和幽靈一樣，黑客通常必須能夠直接訪問PC才能利用這些缺陷。在家里，除了訪問惡意網(wǎng)站之外，真的沒有什么好擔心的。但在小型企業(yè)和企業(yè)環(huán)境中，這些缺陷即使不是破壞性的，也可能會成為問題。雖然英特爾修補了當前的三個缺陷，但還有八個缺陷看起來像令人討厭的雜草。

　　英特爾并不是唯一面臨額外補丁的CPU制造商。一些基于ARM的處理器也容易受到Spectre下一代缺陷的影響，而研究人員目前正在調(diào)查AMD處理器家族是否存在類似的漏洞。

原標題：英特爾又現(xiàn)8個新CPU漏洞正在加速修補