英特爾發布重大安全公告:第6~11代CPU均存在高危漏洞需盡快更新 – 藍點網
2014 年位于現代處理器中的英特推測執行漏洞 (即幽靈和熔斷系列漏洞) 重創英特爾,這類漏洞無法徹底修復,布重以至于到現在英特爾還在定期發布微代碼更新用來緩解漏洞,大安代C點網哈爾濱外圍(外圍模特)外圍預約(微信199-7144=9724)提供高端外圍上門真實靠譜快速安排不收定金見人滿意付30分鐘內到達而安裝微代碼更新則有可能嚴重降低英特爾處理器的告第高危性能。
同時推測執行系列漏洞現在已經被更名為瞬態執行攻擊,均存基于現代處理器的漏洞推測執行,這類漏洞屬于沒完沒了的需盡新藍那種,因為研究人員一直可以發掘出來更多漏洞。快更
比如 Google Project Zero 團隊的英特研究人員 Daniel Moghimi 在去年 8 月就發現了一個新漏洞(CVE-2022-40982),他將這枚漏洞命名為覆沒 (Downfall),布重英特爾花了一年時間研究、大安代C點網分析該漏洞并制定緩解方案,告第高危目前相關更新已經發布,均存哈爾濱外圍(外圍模特)外圍預約(微信199-7144=9724)提供高端外圍上門真實靠譜快速安排不收定金見人滿意付30分鐘內到達所以這枚漏洞可以公布了。漏洞
Daniel Moghimi 解釋稱:
該漏洞是需盡新藍英特爾 CPU 中的內存優化功能引起的,該功能無意中向軟件泄露了內部硬件寄存器,這允許不受信任的軟件訪問其他程序存儲的數據,通常情況下每個程序之間的數據應該是隔離的,不允許被其他程序訪問。
要發起攻擊,攻擊者需要誘導目標用戶下載一個惡意程序,比如通過破解軟件、釣魚郵件等誘導用戶下載夾帶木馬的惡意程序,當用戶執行時,這個木馬就可以竊取電腦上其他應用程序存儲的機密信息。
包括但不限于密碼、加密密鑰、銀行信息、電子郵件等各種憑證,如果是云 PC 的話,攻擊者甚至有機會突破虛擬化,竊取其他 PC 的信息。
為此 Daniel Moghimi 開發了一個概念驗證程序,并演示如何利用這個概念驗證程序從 PC 上竊取信息。
PS:甚至攻擊者還可以通過系統已經安裝的瀏覽器發起攻擊,都不需要用戶下載惡意程序并執行,因為危害更大。
可能影響數億臺 PC:
根據英特爾的說明,這個漏洞影響英特爾第 6~11 代 CPU,包括但不限于酷睿系列、至強系列,也就是消費級產品和服務器處理器都受影響,以英特爾的銷量來說,說影響數億臺 PC 或服務器應該一點也不夸張。
而攻擊者利用這個漏洞發起攻擊還可以做到不留痕跡,因為安全軟件無法探測這類攻擊,盡管理論上說確實可以開發一個硬件計數器來偵測異常行為。
從危害來說,這個漏洞影響所有用戶,即便是家庭用戶也會面臨威脅。而加密貨幣投資者、企業則算是高價值目標,因為可以利用漏洞竊取更多信息。
如何修復:
目前英特爾已經發布更新緩解這類漏洞,用戶需要做的主要有兩件事:第一是在 Windows/Linux 上需要安裝最新更新或補丁;第二是進入主板制造商網站檢索 BIOS 固件更新程序。
其中 OEM 發布不同型號主板的 BIOS 固件可能會比較慢,用戶也只能等待,必須更新 BIOS 固件才能有效解決問題。