近两年间,想必作为全球知名的半导体公司英特尔的先遣团队聚集着巨大的压力,是历经了时光的媒体时代“历史级芯片漏洞事件”之熔断(熔断)与幽灵(幽灵)的劫难;之后又在5G爆头的意外上摔了;如今最新的消息出炉,安全研究人员在芯片中再次发现严重的漏洞——微数据一种采样(Microarchitectural Data Sampling,简称MDS) ,这个,稀少的人也观看稀少的“僵尸负载”(每天上传)。
01、再现《熔毁与幽灵人物》的ZombieLoad
参加 ZombieLoad 会引起安全研究人员的高度关注,是因为其与曾经影响了所有 iPhone、Android、PC 设备的 Meltdown 与 Spectre 曲线的相似曲线。
我们都知道彼时单一芯片制造商是为了提高 CPU 性能,从而在芯片上引入了两种特性,一种叫乱序执行(Out-of-Order Execution),另一种为推测性执行(Speculative Execution) ,如今这两种特性是现代处理器工作方式的重要组成部分:
- 在这种方式下,可以因为获取下一条消息提示所关注的处理器,取而代之的处理下一条可以立即执行的指令;
- 预测执行:采用这种技术的计算机系统会根据已有的信息,利用空转时间提前执行一些将来可能用得上,也可能用不上的指令。如果结果执行完成后发现用不上,系统会喷洒计算,并回执行期间引起的活动(如记录)。
因此,对于采用目的执行,最大的系统可以使应用程序更有效、更高效。经任何授权下读取到商业秘密的信息,设备攻击者可以获取到用户上的敏感数据,如密码、登录密码、私人信息、邮件甚至是秘密文件。
目前,最新被研究人员发现的僵尸负载漏洞引用,针对的目的是在两种特定的作设计缺陷,即可以使用推测性执行来诱骗提取的提取从芯片的一个组件转到另一个组件的敏感数据,不过与使用性可能会来获取内存中的敏感数据的熔毁不同,MDS 攻击专注于定位芯片组件之间的问题。
据传官方,尽管 MDS 攻击也是通过侧信道攻击的方式,但它的实现是由它们的共同组成。
实际上,这四种不同的 MDS 攻击都利用了吸收芯片如何执行时速的捷径。在文档执行的解释中,我们看到 CPU 在程序执行之前的请求探查程序正在请求数据的过程中如果实际执行完成后发现用不上,那么系统会计算喷洒结果(在不同条件下,芯片可以从其他的采集数据中获取数据,因此研究人员可以进行多次攻击。)
因此,潜水的芯片设计人员可能会发现错误的探测,如果提供敏感数据的探测也紧要。
但这个漏洞,爆裂和幽灵一样,攻击者可以通过处理器的缓存。连续重复数百万次,攻击者可以开始窃取 CPU 正在实时访问的所有数据流。
整体而言,通过一些其他的手段,低权限攻击者可以发出请求,说服 CPU 将敏感数据(密码和密码)拉入其请求,然后由 MDS 攻击攻击者将其吸出。几小时,具体的活动目标数据和 CPU 的。
02、2011年以后拥有热量的设备危险!
据报道,这一次的漏洞是由联合如大学、大学、大学等欧洲共同大学,以及Cyber30、甲骨文安全软件公司的研究人员发表的。人员自己的研究成果已经公布,其实原因研究已经过了一年,如今当它可以发布漏洞的修复程序时,这才刚刚事件被爆出来。
目前,很想淡化这一点,但没有带来的漏洞,这些漏洞代表了济硬件的严重缺陷,可能需要利用其部分功能,甚至部分公司的修补也无于事。
目前论影响的范围,可以说是 2011 年以后拥有吸收芯片的所有计算机设备。攻击。
现场也表示,过去可能发布的某些芯片型号已经包含了解决问题的方法。
03、最新的漏洞对普通的用户有什么要求?
那么,这个漏洞对于普通用户有什么预兆?
事实上,对于用户个人来说,大家也不一定会惊慌失措。这次,安全研究人员格鲁解释道,“僵尸加载漏洞的出现并不可能是黑客攻击或攻击者即刻窃取用户的计算机,并且进行了驱动。攻击,这个与去年的Meltdown(熔断)与Spectre(幽灵)有假说,鼓励“Spectre(幽灵)更容易触发”,但是“比Meltdown(熔断)更难触发”。
实际上,想要通过该漏洞进行攻击,需要具备自己的技能。
“但是,该漏洞利用代码在应用程序中编译或作为恶意软件提供,那么极可能发生攻击,”格鲁斯补充道。
“实际上,另外也有很多方法可以引入计算机并窃取数据。不过,当前对预测性执行和侧信道攻击的研究重点仍待制定阶段。未来随着越来越多的调查结果调查,数据窃取攻击有可能发生。更容易利用和更简化。”
对于用户来说,要避免或降低被攻击的风险,最好的办法就是,有可能的修补,记得及时安装。
04、我们是否可以继续信仰的芯片?
当前,大脑已发出微码以易受攻击的处理器,包括英特尔至强、英特尔 Broadwell、Sandy Bridge、Skylake Haswell 芯片。卡比湖和咖啡湖、威士忌湖和喀斯喀特湖芯片也受到影响,以及所有 Atom 和 Knights 处理器。
基于此,喜欢也顺道:“关于微数据采集(MD)问题,我们很多的产品已经在硬件资料解决了,包括很多第8和第9代代酷睿处理器、以及第9代2代至强可扩展处理器系列。
对其他获得的防御产品,可以通过微信更新、并结合今天发布的程序代码更新和虚拟机管理的获取安全。
我们在官方网站上也提供了更多信息,并迅速鼓励大家保持系统的及时更新,因为这是安全的最佳途径之一。我们在此要感谢那些与我们通力协作的研究人员、以及一次次协作披露贡献了行业合作伙伴们。”
举报,如苹果、微软、谷歌等科技谣言,也有人发布了告状,希望第一个可能成为攻击者的攻击线。
据外媒报道,爆料表示,与以前的补丁一样,微代码更新会影响性能产生的影响。大多数事件后的消费者设备在最坏的情况下可能会遭受 3%的性能损失,在数据中心环境中则高达 9%。 但是,它可能会在大多数情况下表示,它不太可能引人注意。
05、生活不易,只因技术本无罪
事实,在硬件的设计与性能不断优化与迭代下,安全肯定会发生安全发展,防御可能不会成为所有设备学校的功能,而这也发生了《我是谁》:没有绝对安全的系统》中的经典语句所言,“人类才是系统中最大的漏洞。”
因此,对于身处数字信息化大时代的从业者,需要铭记的是:本无罪,不要让其爆炸为人性的罪恶去买单。