英特尔再现安全漏洞:2011年后计算机几乎全中枪,可窃取你的密码及数据

栏目: 编程工具 · 发布时间: 2个月前

来源: mp.weixin.qq.com

本文转载自:http://mp.weixin.qq.com/s?__biz=MzIzNjc1NzUzMw==&mid=2247521033&idx=4&sn=1241cab5b347543abd7e51df74faa632,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有。

安妮 发自 凹非寺

量子位 出品 | 公众号 QbitAI

刚刚,英特尔再次被曝出芯片安全漏洞,代号“ZombieLoad”,译为“ 丧尸负载 ”。

这个漏洞主要有两个特点。

一是覆盖范围极大。

科技媒体TechCrunch大致推测,这次漏洞的波及范围几乎为所有2011年装有英特尔芯片的计算机。

也就是说,无论是苹果电脑还是微软电脑,无论计算机系统如何,都会通通中招,不能幸免。

二是危及用户隐私安全。

黑客可以利用这些漏洞,进而查看用户实时访问着哪些网站,并且很容易重新利用这些信息获取用户密码和访问令牌账户。

你的隐私,可能就这样莫名暴露无疑。

英特尔再现安全漏洞:2011年后计算机几乎全中枪,可窃取你的密码及数据

这让网友一下子炸了,登上了TechCrunch、Techmeme等多家科技媒体头条。

英特尔再现安全漏洞:2011年后计算机几乎全中枪,可窃取你的密码及数据

英特尔再现安全漏洞:2011年后计算机几乎全中枪,可窃取你的密码及数据

这是个怎样的漏洞?

设计缺陷

丧尸负载是一种侧通道攻击,也就是说,时间信息、功率消耗、电磁泄露甚至声音等额外信息来源都就可以是黑客下手的契机。

对于英特尔用户来说,黑客无需注入恶意代码,就能通过这种漏洞黑掉一台计算机。

这是一种 微架构数据采样(MDS)攻击 ,通过利用CPU中的加载、存储等微体系结构中的推测执行操作,能推断出其他应用程序正在CPU中处理的数据,进而窃取数据。

简单来说,它能让处理器无法理解和正确处理数据,迫使处理器寻求处理器微指令(microcode)的帮助防止系统崩溃。

通常,一个应用程序只能看到自己应用中的数据,但是当丧尸负载漏洞出现后,可让数据留出这些边界墙,将泄露处理器当前加载的所有核心数据。

发现这个漏洞的研究人员之一的Daniel Gruss表示,受丧尸负载影响的PC和笔记本电脑不仅仅是易受攻击的云,它也可在虚拟机中被触发。

总而言之,这个漏洞就可以用一个成语概括:防不胜防。

Daniel Gruss表示,虽然还没有有用户被攻击的报道,但研究人员不排除会出现这种情况,因为 任何攻击都不会留下痕迹 ……

英特尔再现安全漏洞:2011年后计算机几乎全中枪,可窃取你的密码及数据

记得更新

作为普通用户,应该如何预防自己的电脑受到攻击呢?

TechCrunch认为,作为普通用户,其实也没必要太过恐慌。

黑客无法立刻通过这个漏洞入侵你的电脑,还需要进行特殊的技巧才能进行攻击,除非在应用程序中编译代码或是有恶意软件从中作祟,则无需太过担心。

当然,还是防患于未然的好。

目前,英特尔已经准备好修复MDS文件,但需要 通过不同的操作系统部署补丁 。英特尔表示,安装微指令的补丁将有助于清除处理器的缓存区,防止数据被读取。

苹果表示,最新版的MacOS Mojave操作系统和Safari桌面浏览器的更新已经包含了修复程序,因此Mac用户应该下载最新的更新即可,无需进行额外操作。

谷歌也表示,最近的产品已经包含一个修复程序,只要chrome浏览器用户使用的是最新版本,就自带了漏洞的补丁。

而微软发布了一份准备好的声明,表示将在今天晚些时候准备好修复,建议Windows 10用户下载此修补程序。

这些补丁可用来修复易受攻击的英特尔处理器,包括Intel Xeon、Intel Broadwell、Sandy Bridge、Skylake和Haswell芯片等。

TechCrunch预计其他公司可能会继续跟进编写补丁。

无独有偶

英特尔的每一次安全漏洞,都会潜在影响数亿用户群体,此前的漏洞“熔断”和“幽灵”也曾闹得沸沸扬扬。

并且波及范围不比这次小。

2017年,谷歌旗下的信息安全团队Project Zero首先发现了由CPU“预测执行”(Speculative Execution)引起芯片漏洞:即“Spectre(幽灵)”和“Meltdown(熔断)”。

英特尔再现安全漏洞:2011年后计算机几乎全中枪,可窃取你的密码及数据

它们均由架构设计缺陷导致,可以让普通非特权程序访问到系统内存读取敏感信息,带来隐私和设备安全隐患。

经外媒The Register报道后,此事引发轩然大波。Project Zero研究员表示这三处漏洞波及范围巨大,每个1995年后发布的处理器都会受到影响。并且,除英特尔外,AMD,ARM的处理器也有风险。

也就是说,无论是Windows,Linux,Mac系统还是智能手机安卓系统都不安全了。还有消息称除非重新设计芯片,否则风险无法完全排除,且修复后系统性能会下降。

去年,英特尔处理器又有三大漏洞曝光,从遍布个人电脑的Core(酷睿)到 服务器 上的Xeon(至强),都受到影响。黑客可能会利用这些漏洞来窃取信息。

这次漏洞被称为L1TF,或者L1 Terminal Fault。和之前的著名漏洞熔断、幽灵一样,运用的都是预测执行(speculative execution)计算技术中的缺陷。

也就是说,处理器要高效运行,就需要对下一步可能执行的操作进行有根据的预测。猜对了,就能节约资源,而基于错误猜测进行的操作,会被抛弃掉。

但这个过程会留下线索,比如处理器完成某个请求所需的时间,就带有意想不到的信息。黑客能从这些蛛丝马迹中发现弱点,操纵这种“预测”的路径,在适当的时候,挖掘到从进程数据缓存里泄露出来的数据。

而这个漏洞中,就可以利用一个名为L1的数据缓存,可以访问SGX保护的内存“飞地”。这些研究人员同时也发现,攻击可以暴露让SGX执行完整性检查的“证明密钥”。

每一次英特尔被曝出漏洞,总会有看热闹的网友在报道下评论:

AMD了解一下?

传送门

最后,附丧尸负载研究报告:

ZombieLoad: Cross-Privilege-Boundary Data Sampling

https://zombieloadattack.com/zombieload.pdf

— 完 —

小程序|get更多AI学习干货

英特尔再现安全漏洞:2011年后计算机几乎全中枪,可窃取你的密码及数据

加入社群

量子位AI社群开始招募啦,量子位社群分:AI讨论群、AI+行业群、AI技术群;

欢迎对AI感兴趣的同学,在量子位公众号(QbitAI)对话界面回复关键字“微信群”,获取入群方式。(技术群与AI+行业群需经过审核,审核较严,敬请谅解)

英特尔再现安全漏洞:2011年后计算机几乎全中枪,可窃取你的密码及数据

量子位  QbitAI · 头条号签约作者

վ'ᴗ' ի 追踪AI技术和产品新动态

喜欢就点「在看」吧 !


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

为你推荐:

相关软件推荐:

查看所有标签

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

云计算安全与隐私

云计算安全与隐私

Tim Mather、Subra Kumaraswamy、Shahed Latif / 刘戈舟、杨泽明、刘宝旭 / 机械工业出版社华章公司 / 2011-6 / 65.00元

《云计算安全与隐私》可以使你明白当把数据交付给云计算时你所面临的风险,以及为了保障虚拟基础设施和网络应用程序的安全可以采取的行动。本书是由信息安全界知名专家所著,作者在书中给出许多中肯的忠告和建议。本书的读者对象包括:IT职员、信息安全和隐私方面的从业人士、业务经理、服务提供商,以及投资机构等。阅读本书你会了解直到现在还严重匮乏的云计算安全方面的详尽信息。 《云计算安全与隐私》主要内容包括:......一起来看看 《云计算安全与隐私》 这本书的介绍吧!

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

JSON 在线解析
JSON 在线解析

在线 JSON 格式化工具