向右滑动:上一篇 向左滑动:下一篇 我知道了
广告

英特尔芯片两年三起严重安全漏洞,2011年以后几无幸免

时间:2019-05-15 作者:网络整理 阅读:
美国时间5月14日,安全研究人员在英特尔芯片中发现了一种新的漏洞,如果利用这种漏洞,可以直接从处理器中窃取敏感信息。

美国时间5月14日,安全研究人员在英特尔芯片中发现了一种新的漏洞,如果利用这种漏洞,可以直接从处理器中窃取敏感信息。Lioednc

还记得2018年初英特尔爆出的严重漏洞“熔断(Meltdown)”和“幽灵(Spectre)”吗?它们利用了英特尔处理器中推测执行处理的这一弱点,给黑客进行伪装,骗过系统的检测,最终达到调取资源的目的。Lioednc

007ednc20190515Lioednc

Meltdown和Spectre都泄露了存储在处理器中的敏感数据,包括密码、密钥和账户令牌等机密信息。现在,之前发现上述两种漏洞的同一拨研究人员再度公布了一轮全新的关于英特尔芯片的数据漏洞。Lioednc

芯片设计缺陷导致的漏洞

“ZombieLoad”这个名称原意为“僵尸负载”,漏洞根源在于“预测执行(speculative execution)”和“乱序执行(out-of-order execution)”。研究人员表示,“ZombieLoad”将泄漏处理器核心当前加载的所有数据。对此,英特尔回复称,微码的补丁将有助于清除处理器的缓冲区,防止数据被读取。Lioednc

与之前那的“熔断”和“幽灵”相类似,其也是由芯片设计缺陷导致,是一个针对英特尔芯片的侧信道攻击类型。黑客能够有效地利用该设计缺陷,而不是注入恶意代码。更可怕的是,英特尔表示,“ZombieLoad”实际上由四个漏洞组成,研究人员在一个月前向芯片制造商报告了这些漏洞。Lioednc

实际上,研究人员在一个概念验证视频中表明,可以利用这些漏洞来查看一个人正在实时访问哪些网站,甚至可以很容易地重新利用这些网站来获取用于登录受害者在线的密码或访问令牌账户。Lioednc

像“Meltdown”和“Spectre”一样,受“ZombieLoad”影响的PC和笔记本电脑其云端也极易受到攻击。“ZombieLoad”可以在虚拟机中触发,并打破虚拟机与其他虚拟系统及其主机设备之间原有的隔离状态。Lioednc

发现了最新一轮芯片缺陷的研究人员之一丹尼尔•格鲁斯(Daniel Gruss)称,它的工作原理“就像”是在PC上工作,但可以从处理器读取数据的第三方应用程序。这可能是导致云环境中出现安全风险的一个主要问题,这终会导致不同客户的虚拟机在同一服务器硬件上运行。Lioednc

据了解,“ZombieLoad”几乎对最早可以追溯到2011年使用英特尔芯片的计算机都会造成影响。另一边,搭载了AMD和ARM芯片的电脑则不会像英特尔那样易受攻击。Lioednc

漏洞暂无影响,无需恐慌

那么,此次漏洞究竟会对搭载英特尔芯片的电脑设备造成多大影响呢?对此,安全人员回复,我们目前尚未整理出针对“ZombieLoad”的详细研究报告,我们不排除有最坏的可能性,但现阶段还没有追踪到具体执行过攻击的痕迹。Lioednc

“对于大多数人来说,现阶段大可不必恐慌。”Lioednc

研究人员表明,此次漏洞属性并不是攻击者可以立即接管你计算机的驱动攻击。格鲁斯表示,用“ZombieLoad”执行攻击的门槛较高,通俗来讲它“比幽灵执行起来更容易”,但“比熔断执行起来更难”——即两者都需要一套特定的技能和努力才能真正用于攻击。Lioednc

009ednc20190515Lioednc

安全研究人员展示用 ZombieLoad 漏洞实时监视用户所浏览的网页 (来源:zombieloadattack.com)Lioednc

“但是,如果利用代码是在应用程序中编译的,或者是作为恶意软件传递的,攻击者就可以发动攻击,”他补充道。Lioednc

实际上,要侵入电脑并窃取数据,还有更简单的方法。目前对投机性执行和侧信道攻击的研究仍处于起步阶段,随着更多的发现浮出水面,数据窃取攻击有可能变得更容易利用和更精简。Lioednc

因此,一旦有与任何漏洞相关的可用补丁,请一定要安装它们。Lioednc

打补丁堵漏洞,但处理器性能可能下降

目前,英特尔已经放出了漏洞补丁,将联合电脑 OEM 厂商推送微码更新(MCU),部分受影响的处理器性能将会略微下降(1% - 19% 不等)。Lioednc

由于“ZombieLoad”漏洞是由英特尔公司和第三方安全研究公司联合公布的,按照业界惯例,他们会提前通知各大设备厂商,给他们充足的时间开发补丁。因此,微软、苹果、谷歌和亚马逊等公司也都发出公告,纷纷表示已经或即将为旗下产品推送安全补丁,封堵漏洞。Lioednc

从英特尔官方和微软、苹果、谷歌等企业的迅速行动来看,“ZombieLoad”漏洞或许不会对日常生活造成太大的影响,大部分处理器性能的缩水也都在可接受范围内,因此我们也不必太过担心,积极安装官方推送的安全补丁即可。Lioednc

 Lioednc

010ednc20190515Lioednc

对英特尔酷睿 i9-9900K 处理器的影响(来源:英特尔)Lioednc

 Lioednc

PC 领域两巨头之一的苹果公司表示,系统更新至 Mojave 10.14.5 的苹果电脑将会是安全的,并且不会有显著的性能影响,除非用户选择运行全套安全补丁,则可能受到最高为 40% 的性能损失。微软同样已在最新的系统更新里部署相关的补丁。Lioednc

在移动设备与云服务领域,谷歌表示,只有使用英特尔芯片的安卓系统才会有漏洞,用户需要安装具体设备产商最新的更新来补上漏洞,而谷歌自主的 Chromebook 产品则已经完成补丁更新。亚马逊则在第一时间更新了所有 AWS 的主机,表示产品已不会收到此漏洞的影响。Lioednc

(综合整理自DeepTech深科技、雷锋网)Lioednc

本文为EDN电子技术设计 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
您可能感兴趣的文章
  • 一种降低烟感产品误报率的解决方案 现有的烟感方案如电离传感器,光电传感器构成的产品,可以很好的测量烟雾。一般电离传感器方案,会比较快的对传统烟雾进行报警,这取决于烟腔迷宫的设计。而光电传感器,可以更早的对阴燃物体产生的烟雾进行报警,从而提前预防火灾的发生。但这两种方式,对烧焦的汉堡或水蒸气干扰情况的辨识度较差,容易发生误报,需要很有经验的软件人员将其与真实的烟雾区分出来。
  • 智能手机主宰了人们,但应该用它来控制汽车吗? 智能手机主宰了我们的生活和整个世界,目前可以用来远程锁门、锁车、开灯关灯以及控制窗帘开关,甚至还可以应门和监测心率。但是,消费级手机设计是否足够安全,是否可用来控制任务关键型系统?或者更直接地说,我们是否考虑清楚了承担使用消费类智能手机可能带来的所有潜在威胁和后果,例如远程召唤一辆车?
  • 一文看懂手机防水原理:华为/小米做了哪些“无良”小动 有些手机不防水,通过内置了“进液标识”,放置在接口附近,目的就是为了对消费者质保时,对质保进行拒绝。这个不管什么品牌,这样的做法都有些过分。而目前看到这个做法最严重的是小米、华为。
  • Semtech关于2019年物联网发展的六项预测 2019年将进入借助采用特定物联网(IoT)技术的垂直集成解决方案来简化开发和大规模部署的一年。随着众多行业依靠物联网解决方案来解决其日常挑战,我们将开始看到多个发展趋势。在看过多个试点和概念验证项目(POC)由于各种原因没有扩展到大规模部署之后,我们将最终看到具有清晰投资回报(Rol)的、被大规模部署的应用案例。数据隐私、安全性、员工安全和不断演进的监管环境将推动诸如智能建筑和工厂等特定领域中的应用。
  • 集成式潮湿环境接线系统改善工作人员安全与安全合规 作为任何安全计划的一个核心组成部分,电源设备都必须集成接地故障保护功能,适合恶劣条件使用,从而针对灰尘和水分的侵入提供充分的保护。
  • 丰田再三召回混合动力车,谈谈电动汽车安全风险 我们需要仔细控制电动汽车安全风险,把它控制在一个合理的范围之内。
相关推荐
    广告
    近期热点
    广告
    广告
    广告
    可能感兴趣的话题
    广告