作為近年來曝出的最嚴重的計算機硬體安全漏洞,別有用心的攻擊者可以利用處理器的“幽靈”(Spectre)和“熔毀”(Meltdown)漏洞來訪問計算機上受保護的記憶體資訊,比如瀏覽器中儲存的賬號密碼、或者電子郵件等隱私內容。尷尬的是,儘管全行業軟硬體廠商在努力製作補丁,有關這兩個安全漏洞的新變種攻擊還是不斷湧現。
英特爾、AMD 等軟硬體廠商推出了修複補丁,但對計算機效能造成了一定程度的不利影響。深受影響的英特爾表示,該公司承諾在後續 CPU 中消除這一漏洞。
然而英偉達和普林斯頓大學的一支研究團隊,剛剛在一份新報告(PDF)中揭示了兩個 Meltdown 和 Spectre 漏洞利用的新方法,分別叫做“MeltdownPrime”和“SpectrePrime”。
據悉,攻擊者可以讓 CPU 的兩個核心互相敵對,以欺騙多核系統放棄快取資料。下麵是這份研究報告總結部分的摘錄:
Spectre 和 Meltdown 存在的情況下,相干失效使得一種 Prime+Probe 攻擊成為了可能,精度可達到與 Flush+Reload 攻擊的相同級別,以及洩露相同的資訊型別。
利用快取的失效,變種 Meltdown 和 Spectre 在使用 Prime+Probe 旁路通道攻擊時,能夠以相同的細粒度來洩露受害者的記憶體。
基於某種無效的一致性協議,MeltdownPrime 和 SpectrePrime 由系統中發起的寫入請求引起。
總而言之,當前可用的補丁和安全更新有可能已經解決了變種攻擊的問題。但是基於最新的狀況,英特爾和 AMD 或需要考慮對其即將推出的 CPU 硬體加以調整。
*來源:cnBeta.COM
更多資訊
◈ SWIFT再爆駭客襲擊 俄羅斯銀行被盜600萬美元
http://t.cn/RRmVLEs
◈ 委內瑞拉挖礦最便宜
http://t.cn/RRmVycf
◈ 輕鬆1000TB Intel預告全新64層堆疊3D TLC快閃記憶體SSD
http://t.cn/RRmVyRw
◈ 被炒IT僱員因蓄意破壞鐵路計算機網路而入獄一年
http://t.cn/RRmVUGg
(資訊來源於網路,安華金和蒐集整理)