英特尔在 14 日又再度公开了 3 个新的芯片漏洞,将同样可能被用来获取计算机数据,且可能比 Spectre 更具威胁 。
在今年初,有安全研究人员披露了英特尔及 AMD 计算芯片存在可能被窃取数据的漏洞,而目前被发现与 Spectre 类似漏洞已多达 8 个。英特尔表示,虽然还没有发现这些漏洞被实际应用的案例,但公司已着手发布安全性更新。
值得注意的是,最新的漏洞 CVE-2018-3615、CVE-2018-3620、CVE-2018-3646 可能允许骇客从虚拟机器(VM)中发动对客户端的攻击,绕过英特尔的 SGX 防护技术,甚至拦截 VM 之间传输的密码及密钥,将可能会影响许多企业用户。英特尔表示,已与各个行业合作伙伴分享最近被称为 L1 终端故障(L1TF)的侧通道攻击途径。
因为这是与此前 Spectre 漏洞相似的问题,估计同样会影响 Core 及 Xeon 系列等泛用的处理器。不过英特尔也强调,在今年初发布的微代码更新(MCU)也同样可以做为解决方案的基础。且就如同 3 月时所宣布,这些问题在下一代的处理器上已不会发生,只要进行安全更新,将能大幅降低消费者和企业用户的风险,且对处理器的性能影响不大。
英特尔承认,的确在某些特定状况下,安全更新会对特定工作负载的性能或资源利用率造成影响,但公司也将会针对不同客户的需求来推出多种解决方案,让客户自行做选择。英特尔会持续致力于对产品的安全保障,并继续维护更新。不过此前才刚有消息指出,英特尔将停止旧款产品的 Spectre 漏洞支援。
目前有消息指出,微软与 Linux 都将开发自己的补丁,Mac 及 iOS 预计也会陆续推出更新。在消息公布后,英特尔股价又再度下跌 1%,而 AMD 则即时否认有同样的问题。目前英特尔已用高危等级来处理新发现的漏洞。
- Protecting Our Customers through the Lifecycle of Security Threats
- Intel discloses three more chip flaws
- More Spectre-style chip flaws discovered in Intel processors
- Intel, AMD moving on reveal of more Intel chip flaws
(首图来源:flickr/Christoph Scholz CC BY 2.0)
延伸阅读:
- 英特尔处理器被发现新漏洞,影响第 2、4、6 代酷睿处理器
- Intel 停止旧款处理器 Spectre 漏洞安全性更新
- 英特尔新处理器将变更软硬件架构,以解决安全漏洞问题
- 超微芯片存漏洞,骇客可控制电脑
- Intel AMT 发现新漏洞,只要 30 秒骇客就可掌控你的电脑
