131 1300 0010
北京時間3月6日消息,美國伍斯特理工學院研究人員在英特爾處理器中發現另外一個被稱作Spoiler的高危漏洞,與之前被發現的Spectre相似,Spoiler會泄露用戶的私密數據。
雖然Spoiler也依賴于預測執行技術,現有封殺Spectre漏洞的解決方案對它卻無能為力。無論是對英特爾還是其客戶來說,Spoiler的存在都不是個好消息。
研究論文明確指出,“Spoiler不是Spectre攻擊。Spoiler的根本原因是英特爾內存子系統實現中地址預測技術的一處缺陷。現有的Spectre補丁對Spoiler無效。”
與Spectre一樣,Spoiler也使惡意黑客能從內存中竊取密碼、安全密鑰和其他關鍵數據。但我們需要指出的是,要利用Spoiler發動攻擊,黑客需要能使用用戶的計算機——在許多情況下黑客不具備這樣的條件,或借助其他途徑通過讓用戶計算機感染惡意件獲得訪問權限。
研究人員指出,有趣的是,他們也對ARM和AMD處理器進行了研究,發現它們不存在Spoiler漏洞,這意味著英特爾在處理器中使用了專有的內存管理技術。
進一步的研究發現,無論運行什么操作系統,幾乎所有現代英特爾處理器都存在Spoiler漏洞。研究人員表示,“這一漏洞能被有限的指令利用,從第一代酷睿系列處理器起,這些指令就存在于所有的英特爾處理器中,與操作系統無關。”
雖然Spoiler漏洞信息被公之于眾,但目前尚沒有軟件補丁能封堵這一漏洞。軟件補丁的發布還沒有時間表,以及它對計算機性能的影響也不得而知。
英特爾對此發表聲明稱,“英特爾已獲悉相關研究結果,我們預計軟件補丁能封堵這一漏洞。保護我們的客戶以及他們的數據仍然是我們重中之重的任務,我們對安全社區的努力表示感激。”
