英特尔芯片再现ZombieLoad漏洞
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》
日前,安全研究人员在英特尔芯片中发现了一种新的漏洞,如果利用这种漏洞,可以直接从处理器中窃取敏感信息。
还记得2018年初英特尔爆出的严重漏洞“熔断(Meltdown)”和“幽灵(Spectre)”吗?它们利用了英特尔处理器中推测执行处理的这一弱点,给黑客进行伪装,骗过系统的检测,最终达到调取资源的目的。
Meltdown和Spectre都泄露了存储在处理器中的敏感数据,包括密码、密钥和账户令牌等机密信息。现在,之前发现上述两种漏洞的同一拨研究人员再度公布了一轮全新的关于英特尔芯片的数据漏洞。
ZombieLoad
“ZombieLoad”这个名称原意为“僵尸负载”,漏洞根源在于“预测执行(speculative execution)”和“乱序执行(out-of-order execution)”。研究人员表示,“ZombieLoad”将泄漏处理器核心当前加载的所有数据。对此,英特尔回复称,微码的补丁将有助于清除处理器的缓冲区,防止数据被读取。
与之前那的“熔断”和“幽灵”相类似,其也是由芯片设计缺陷导致,是一个针对英特尔芯片的侧信道类型。黑客能够有效地利用该设计缺陷,而不是注入恶意代码。更可怕的是,英特尔表示,“ZombieLoad”实际上由四个漏洞组成,研究人员在一个月前向芯片制造商报告了这些漏洞。
实际上,研究人员在一个概念验证视频中表明,可以利用这些漏洞来查看一个人正在实时访问哪些网站,甚至可以很容易地重新利用这些网站来获取用于登录受害者在线的密码或访问令牌账户。
像“Meltdown”和“Spectre”一样,受“ZombieLoad”影响的PC和笔记本电脑其云端也极易受安全威胁。“ZombieLoad”可以在虚拟机中触发,并打破虚拟机与其他虚拟系统及其主机设备之间原有的隔离态。
发现了一轮芯片缺陷的研究人员之一丹尼尔•格鲁斯(Daniel Gruss)称,它的工作原理“就像”是在PC上工作,但可以从处理器读取数据的第三方应用程序。这可能是导致云环境中出现安全风险的一个主要问题,这终会导致不同客户的虚拟机在同一服务器硬件上运行。
雷锋网得知,“ZombieLoad”几乎对最早可以追溯到2011年使用英特尔芯片的计算机都会造成影响。另一边,搭载了AMD和ARM芯片的电脑则不会像英特尔那样易受黑客威胁。
漏洞暂无影响,无需恐慌
那么,此次漏洞究竟会对搭载英特尔芯片的电脑设备造成多大影响呢?对此,安全人员回复,我们目前尚未整理出针对“ZombieLoad”的详细研究报告,我们不排除有最坏的可能性,但现阶段还没有追踪到具体执行过的掌控痕迹。
“对于大多数人来说,现阶段大可不必恐慌。”
格鲁斯表示,用“ZombieLoad”执行的门槛较高,通俗来讲它“比幽灵执行起来更容易”,但“比熔断执行起来更难”——即两者都需要一套特定的技能和努力才能真正用于不法控制。
安全研究人员展示用 ZombieLoad 漏洞实时监视用户所浏览的网页 (来源:zombieloadattack.com)
“但是,如果利用代码是在应用程序中编译的,或者是作为恶意软件传递的,黑客就可以开始。”他补充道。
实际上,要侵入电脑并窃取数据,还有更简单的方法。目前对投机性执行和侧信道攻击的研究仍处于起步阶段,随着更多的发现浮出水面,数据窃取攻击有可能变得更容易利用和更精简。
因此,一旦有与任何漏洞相关的可用补丁,请一定要安装它们。
英特尔:联合厂商推送MCU
英特尔已发布微码更新(MCU)以修补易受攻击的处理器,这其中包括Intel Xeon,Intel Broadwell,Sandy Bridge,Haswell芯片。英特尔Kaby Lake,Coffee Lake,Whiskey Lake和Cascade Lake芯片也受到影响,以及所有Atom和Knights处理器。
与此同时,消费级硬件厂商也在相继发布补丁作为抵御可能攻击的防线。电脑制造商Apple和微软和浏览器制造商谷歌已发布补丁,其他公司预计会跟进。
对英特尔酷睿 i9-9900K 处理器的影响(来源:英特尔)
据TechCrunch报道,英特尔认为与以前的补丁一样,微代码更新会对处理器性能产生影响。英特尔发言人称,大多数修补后的消费级设备在最坏的情况下可能会受到3%的性能损失,在数据中心环境中则高达9%。但是,这种情况在大多数情况下并不太可能引人注意。
截至目前,英特尔和格鲁斯及其团队都没有发布漏洞利用代码,因此可保证对普通用户没有直接的威胁。
本文转自雷锋网,如需转载请至雷锋网官网申请授权。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
10位网络安全专家对特朗普总统令的看法
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》 美国总统川普5月2日签署了一项有关培养和加强联邦网络安全工作人力的行政命令。 白宫表示,美国有超过30万个网络安全职位空缺,填补这些空缺对国家经济和安全至关重要。 这份行政命令概述了一项轮岗计划,该计划允许政府雇员暂时被分配到其他机构。它还鼓励采纳国家网络安全教育计划(NICE)的网络安全劳动力框架,该框架有助于招募和留住人才并提高人才实力。 特朗普政府还希望通过奖励和竞争来增加网络安全人员。 一些网络安全行业人员在评论这项新行政命令时表示,这是朝着正确方向迈出的一步,而其他人则指出,这可能不会有太大帮助,或者需要做更多工作。 以下是他们的评论… 1. Capsule8产品策略副总裁Kelly Shortridge: 鉴于已经有认证和在线课程可以证明应聘人员在网络安全方面的能力和热情,我不确定新标准将如何帮助从业人员缩小技能差距。太多的工作需要应聘者拥有多年的工作经验,这就不再是有知识差距的问题了,而是在于如何不仅仅通过雇佣高级人才,帮助商业组织制定强有力的安全计划。 此外,还有很多来自弱势背景的人,他们接受了认证...
- 下一篇
预警:微软有高危远程代码执行漏洞
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》 5 月 15 日消息,据绿盟科技、360 等厂商刚刚发布的漏洞预警称,微软发布的 5 月份月度更新中修复了一个存在于远程桌面服务中(Remote Desktop Services)的高危远程代码执行漏洞(CVE-2019-0708),RDP 协议本身不受影响。该漏洞可以被蠕虫病毒利用,建议受影响用户尽快下载补丁升级进行防护。 受影响的版本 Windows 7 Windows Server 2008 R2 Windows Server 2008 Windows Server 2003 Windows XP 注:其中Windows Server 2003以及Windows XP已经不再受支持,但此次仍会发布对应的漏洞补丁 不受影响的版本 Windows 8 Windows 10 解决方案 在微软发布的 5 月更新中已经修复了该漏洞,建议用户尽快升级进行防护。 360 安全卫士称,该漏洞的触发无需任何用户交互操作,这也就意味着可以利用该漏洞制作类似于 2017 年席卷全球的 WannaCry 类的蠕虫病毒,进行大规模传播...
相关文章
文章评论
共有0条评论来说两句吧...