英特尔安全漏洞 全球数百万部电脑处于黑客攻击的危险之中(2)

　　为修复漏洞而战472鄂东网|www.xianzhaiwang.cn

　　英特尔在接受采访时表示，该公司研究人员去年就发现了首个MDS安全漏洞，现在它已经发布了硬件和软件漏洞的修复程序。每当处理器跨越安全边界时，针对漏洞攻击的软件修补程序会清除缓冲区中的所有数据，以便它们不会被窃取和泄漏。英特尔表示，在大多数情况下，该补丁的性能成本“相对最低”，不过在某些数据中心实例中，它可能会将芯片速度降低多达8%或9%。472鄂东网|www.xianzhaiwang.cn

　　补丁要想生效，修补程序必须由每个操作系统、虚拟化供应商和其他软件制造商实施。苹果表示，作为最近Mojave和Safari更新的一部分，该公司发布了一个修复程序。谷歌和亚马逊也对受影响的产品实施了更新。Mozilla表示，很快就会有解决方案。微软的一位发言人说，微软将于今天发布安全更新，以解决这个问题。472鄂东网|www.xianzhaiwang.cn

　　微软在声明写道：“我们已经意识到这个行业性的问题，并一直与受影响的芯片制造商密切合作，开发和测试缓解措施，以保护我们的客户。我们正在努力为云计算服务部署缓解措施，并发布安全更新，以保护Windows客户避免受到硬件芯片安全漏洞的影响。”VMware没有立即回复有关修复程序状态的询问。472鄂东网|www.xianzhaiwang.cn

　　英特尔从上个月开始发布的部分芯片中已经包含了硬件补丁，它可以直接地解决这个问题，防止处理器在“预测执行”进程中从缓冲区中获取数据。英特尔发言人在一份声明中写道：“对于其他受影响的产品，可以通过微代码更新，以及从今天开始提供的操作系统和虚拟机监控程序软件的相应更新，来降低安全漏洞的影响。”472鄂东网|www.xianzhaiwang.cn

　　然而，与此同时，研究人员和英特尔对问题的严重性以及如何对其进行分类持有不同意见。TU Graz和VUSec都建议软件制造商禁用超线程，这是英特尔芯片的重要功能，通过允许并行执行更多的任务来加速其处理，但可能使MDS攻击的某些变体更容易实现。英特尔坚持认为，这些漏洞并不能保证禁用该功能，这将给用户带来严重的性能损失。事实上，该公司对这四个漏洞的评级仅为“低到中等”严重程度，这一评级受到了TU Graz和VUSec研究人员的质疑。472鄂东网|www.xianzhaiwang.cn

　　例如，英特尔工程师认为，尽管MDS的漏洞可以泄露机密数据，但他们也从计算机的操作中泄露了大量其他垃圾信息。但安全研究人员发现，他们可以可靠地挖掘原始输出，以找到它们所寻求的有价值的信息。为了使过滤变得更容易，他们显示黑客可以诱使CPU重复泄露相同的秘密，从而帮助将其与周围的垃圾信息区分开来。472鄂东网|www.xianzhaiwang.cn

　　TU Graz的研究人员Michael Schwarz说：“如果我们攻击硬盘加密机制，我们只在很短的时间范围内发动攻击，当密钥加载到内存中时，我们有很高的机会获得密钥和一些其他数据。有些数据将始终保持不变，而其他数据将发生变化。我们看到了最常发生的事情，这就是我们感兴趣的数据。这是基本的统计数据。”472鄂东网|www.xianzhaiwang.cn

　　或者，就像VUSec的Bos所说的那样：“我们从消防水管里喝水。如果你很聪明，仔细处理这些东西，你就不会被呛死，你就会得到你需要的一切。“。

英特尔安全漏洞 http://www.xianzhaiwang.cn/all/605896.html