比 Spectre 更具威脅,英特爾公布了更多晶片漏洞

作者 | 發布日期 2018 年 08 月 15 日 12:38 | 分類 晶片 , 處理器 , 資訊安全 follow us in feedly

英特爾在 14 日又再度公開了 3 個新的晶片漏洞,將同樣可能被用來獲取計算機數據,且可能比 Spectre 更具威脅 。




在今年初,有安全研究人員披露了英特爾及 AMD 計算晶片存在可能被竊取數據的漏洞,而目前被發現與 Spectre 類似漏洞已多達 8 個。英特爾表示,雖然還沒有發現這些漏洞被實際應用的案例,但公司已著手發布安全性更新。

值得注意的是,最新的漏洞 CVE-2018-3615、CVE-2018-3620、CVE-2018-3646 可能允許駭客從虛擬機器(VM)中發動對客戶端的攻擊,繞過英特爾的 SGX 防護技術,甚至攔截 VM 之間傳輸的密碼及密鑰,將可能會影響許多企業用戶。英特爾表示,已與各個行業合作夥伴分享最近被稱為 L1 終端故障(L1TF)的側通道攻擊途徑。

因為這是與此前 Spectre 漏洞相似的問題,估計同樣會影響 Core 及 Xeon 系列等泛用的處理器。不過英特爾也強調,在今年初發布的微代碼更新(MCU)也同樣可以做為解決方案的基礎。且就如同 3 月時所宣布,這些問題在下一代的處理器上已不會發生,只要進行安全更新,將能大幅降低消費者和企業用戶的風險,且對處理器的性能影響不大。

英特爾承認,的確在某些特定狀況下,安全更新會對特定工作負載的性能或資源利用率造成影響,但公司也將會針對不同客戶的需求來推出多種解決方案,讓客戶自行做選擇。英特爾會持續致力於對產品的安全保障,並繼續維護更新。不過此前才剛有消息指出,英特爾將停止舊款產品的 Spectre 漏洞支援。

目前有消息指出,微軟與 Linux 都將開發自己的補丁,Mac 及 iOS 預計也會陸續推出更新。在消息公布後,英特爾股價又再度下跌 1%,而 AMD 則即時否認有同樣的問題。目前英特爾已用高危等級來處理新發現的漏洞。

(首圖來源:flickr/Christoph Scholz CC BY 2.0)

延伸閱讀:

關鍵字: , , ,