您現在所在的位置:26选5怎么看中奖 >> 新聞動態
新聞動態
Intel處理器漏洞“Meltdown”“Spectre”影響幾乎全球用戶
發布時間:2018.01.24 新聞來源:貴州響亮電子技術有限公司 瀏覽次數:

綜述
近日, Intel處理器被爆出存在硬件上的漏洞,該漏洞源于芯片硬件層面的一處設計BUG。這個BUG會允許程序竊取當前在計算機上處理的數據,并且影響Windows MacOS Linux。由于涉及硬件,該漏洞無法通過芯片的微碼(microcode)更新進行修復,需要通過內核級別的修復來解決,并且據研究表明,修復該漏洞會犧牲5%-30%的性能。
相關鏈接:
https://meltdownattack.com/
https://hothardware.com/news/intel-cpu-bug-kernel-memory-isolation-linux-windows-macos

漏洞影響
據研究人員表示,如果計算機使用的是1995年以后生產的Intel處理器芯片,那么就極有可能受影響。另外云環境也受影響,攻擊者可以濫用該漏洞在未授權情況下訪問幾乎任何一個虛擬機上的內存,可以獲得密碼等敏感信息。

漏洞概述
通常情況下,計算機應該防止一個應用程序讀取內核傳遞的信息。 但是在該BUG的情況下,這種隔離被破壞了,所以一個程序可以在未經許可的情況下在內核中讀取另一個程序的內存。 研究人員指出:“這個bug基本上突破了安全邊界,而這個邊界通常是由硬件來強制執行的?!?/span>

這種攻擊利用了英特爾系統處理進程時CPU無法確定一條指令是否會執行,也就是所謂的推測性執行。 通常情況下,英特爾會猜測一個進程的結果,在任務前先運行,并在確認指令時再返回執行代碼。 在此過程中,英特爾沒有成功地將低權限的應用程序與訪問內核內存分開,這意味著攻擊者可以使用惡意應用程序來獲取應該被隔離的私有數據。


Meltdown 
Meltdown打破了用戶應用程序和操作系統之間最基本的隔離。 這種攻擊允許程序訪問其他程序和操作系統的內存,也就是可以讀取到敏感的,秘密的信息。
如果您的計算機裝有受影響的處理器并運行未打補丁的操作系統,則在操作敏感信息時就會有泄漏的危險。個人用戶和云設施均會受到影響。
參考鏈接:https://meltdownattack.com/


Spectre

Spectre打破了不同應用程序之間的隔離。 它允許攻擊者欺騙無錯程序(error-free)并使其泄露秘密信息。 事實上,最佳實踐的安全檢查反而會增加攻擊面,并可能使應用程序更容易受到Spectre的影響。
Spectre比Meltdown更難被利用,然而它也更難以防護。但是,可以通過軟件補丁防止基于Specter的特定已知漏洞。
參考鏈接:https://spectreattack.com/

解決方案
研究人員已經聯系了Intel Microsoft以及Apple詢問相關信息。
Intel發布了官方回應表示已經注意到該漏洞,會逐步解決該問題,而且表示這個漏洞不只是出現在Intel的芯片上。
微軟也給出了官方回應表示會聯合芯片廠商一起解決該問題,并且會發布安全更新來幫助云服務用戶進行防護。
Apple表示也會盡快提供MacOS的補丁來修復該漏洞。
Linux已經通過KAISER技術來解決了Meltdown漏洞,并且更新已經準備完畢。Spectre的更新還在準備中。
用戶應該持續關注,盡快采取措施進行防護。
參考鏈接:
https://newsroom.intel.com/news/intel-responds-to-security-research-findings/
26选5怎么看中奖
https://www.forbes.com/sites/thomasbrewster/2018/01/03/intel-meltdown-spectre-vulnerabilities-leave-millions-open-to-cyber-attack/#35e09d1d3932


聲 明

本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部內容。未經綠盟科技允許,不得任意修改或者增減此安全公告內容,不得以任何方式將其用于商業目的。
Copyright © 貴州響亮電子技術有限公司 All Rights Reserved 版權所有
地址:貴州省貴陽市觀山湖區誠信北路麒龍CBD中央商務大廈B2座14樓   黔ICP備13003907號