英特爾CPU再現高危漏洞 得到官方證實可洩露私密資料
美國伍斯特理工學院研究人員在英特爾處理器中發現另外一個被稱作Spoiler的高危漏洞,與之前被發現的Spectre相似,Spoiler會洩露使用者的私密資料。雖然Spoiler也依賴於預測執行技術,現有封殺Spectre漏洞的解決方案對它卻無能為力。無論是對英特爾還是其客戶來說,Spoiler的存在都不是個好訊息。
研究論文明確指出,“Spoiler不是Spectre攻擊。Spoiler的根本原因是英特爾記憶體子系統實現中地址預測技術的一處缺陷。現有的Spectre補丁對Spoiler無效。”
與Spectre一樣,Spoiler也使惡意黑客能從記憶體中竊取密碼、安全金鑰和其他關鍵資料。但我們需要指出的是,要利用Spoiler發動攻擊,黑客需要能使用使用者的計算機——在許多情況下黑客不具備這樣的條件,或藉助其他途徑通過讓使用者計算機感染惡意件獲得訪問許可權。
研究人員指出,有趣的是,他們也對ARM和AMD處理器進行了研究,發現它們不存在Spoiler漏洞,這意味著英特爾在處理器中使用了專有的記憶體管理技術。
進一步的研究發現,無論執行什麼作業系統,幾乎所有現代英特爾處理器都存在Spoiler漏洞。研究人員表示,“這一漏洞能被有限的指令利用,從第一代酷睿系列處理器起,這些指令就存在於所有的英特爾處理器中,與作業系統無關。”
雖然Spoiler漏洞資訊被公之於眾,但目前尚沒有軟體補丁能封堵這一漏洞。軟體補丁的釋出還沒有時間表,以及它對計算機效能的影響也不得而知。
英特爾對此發表宣告稱,“英特爾已獲悉相關研究結果,我們預計軟體補丁能封堵這一漏洞。保護我們的客戶以及他們的資料仍然是我們重中之重的任務,我們對安全社群的努力表示感激。”