英特尔安全漏洞 危及用户隐私安全

2019-05-15 16:18:33 来源: 量子位

刚刚,英特尔再次被曝出芯片安全漏洞,代号“ZombieLoad”,译为“丧尸负载”。

这个漏洞主要有两个特点。

一是覆盖范围极大。

科技媒体TechCrunch大致推测,这次漏洞的波及范围几乎为所有2011年装有英特尔芯片的计算机。

也就是说,无论是苹果电脑还是微软电脑,无论计算机系统如何,都会通通中招,不能幸免。

二是危及用户隐私安全。

黑客可以利用这些漏洞,进而查看用户实时访问着哪些网站,并且很容易重新利用这些信息获取用户密码和访问令牌账户。

你的隐私,可能就这样莫名暴露无疑。

这让网友一下子炸了,登上了TechCrunch、Techmeme等多家科技媒体头条。

这是个怎样的漏洞?

设计缺陷

丧尸负载是一种侧通道攻击,也就是说,时间信息、功率消耗、电磁泄露甚至声音等额外信息来源都就可以是黑客下手的契机。

对于英特尔用户来说,黑客无需注入恶意代码,就能通过这种漏洞黑掉一台计算机。

这是一种微架构数据采样(MDS)攻击,通过利用CPU中的加载、存储等微体系结构中的推测执行操作,能推断出其他应用程序正在CPU中处理的数据,进而窃取数据。

简单来说,它能让处理器无法理解和正确处理数据,迫使处理器寻求处理器微指令(microcode)的帮助防止系统崩溃。

通常,一个应用程序只能看到自己应用中的数据,但是当丧尸负载漏洞出现后,可让数据留出这些边界墙,将泄露处理器当前加载的所有核心数据。

发现这个漏洞的研究人员之一的Daniel Gruss表示,受丧尸负载影响的PC和笔记本电脑不仅仅是易受攻击的云,它也可在虚拟机中被触发。

总而言之,这个漏洞就可以用一个成语概括:防不胜防。

Daniel Gruss表示,虽然还没有有用户被攻击的报道,但研究人员不排除会出现这种情况,因为任何攻击都不会留下痕迹……

记得更新

作为普通用户,应该如何预防自己的电脑受到攻击呢?

TechCrunch认为,作为普通用户,其实也没必要太过恐慌。

黑客无法立刻通过这个漏洞入侵你的电脑,还需要进行特殊的技巧才能进行攻击,除非在应用程序中编译代码或是有恶意软件从中作祟,则无需太过担心。

当然,还是防患于未然的好。

目前,英特尔已经准备好修复MDS文件,但需要通过不同的操作系统部署补丁。英特尔表示,安装微指令的补丁将有助于清除处理器的缓存区,防止数据被读取。

苹果表示,最新版的MacOS Mojave操作系统和Safari桌面浏览器的更新已经包含了修复程序,因此Mac用户应该下载最新的更新即可,无需进行额外操作。

谷歌也表示,最近的产品已经包含一个修复程序,只要chrome浏览器用户使用的是最新版本,就自带了漏洞的补丁。

而微软发布了一份准备好的声明,表示将在今天晚些时候准备好修复,建议Windows 10用户下载此修补程序。

这些补丁可用来修复易受攻击的英特尔处理器,包括Intel Xeon、Intel Broadwell、Sandy Bridge、Skylake和Haswell芯片等。

TechCrunch预计其他公司可能会继续跟进编写补丁。

无独有偶

英特尔的每一次安全漏洞,都会潜在影响数亿用户群体,此前的漏洞“熔断”和“幽灵”也曾闹得沸沸扬扬。

并且波及范围不比这次小。

2017年,谷歌旗下的信息安全团队Project Zero首先发现了由CPU“预测执行”(Speculative Execution)引起芯片漏洞:即“Spectre(幽灵)”和“Meltdown(熔断)”。

它们均由架构设计缺陷导致,可以让普通非特权程序访问到系统内存读取敏感信息,带来隐私和设备安全隐患。

经外媒The Register报道后,此事引发轩然大波。Project Zero研究员表示这三处漏洞波及范围巨大,每个1995年后发布的处理器都会受到影响。并且,除英特尔外,AMD,ARM的处理器也有风险。

也就是说,无论是Windows,Linux,Mac系统还是智能手机安卓系统都不安全了。还有消息称除非重新设计芯片,否则风险无法完全排除,且修复后系统性能会下降。

去年,英特尔处理器又有三大漏洞曝光,从遍布个人电脑的Core(酷睿)到服务器上的Xeon(至强),都受到影响。黑客可能会利用这些漏洞来窃取信息。

这次漏洞被称为L1TF,或者L1 Terminal Fault。和之前的著名漏洞熔断、幽灵一样,运用的都是预测执行(speculative execution)计算技术中的缺陷。

也就是说,处理器要高效运行,就需要对下一步可能执行的操作进行有根据的预测。猜对了,就能节约资源,而基于错误猜测进行的操作,会被抛弃掉。

但这个过程会留下线索,比如处理器完成某个请求所需的时间,就带有意想不到的信息。黑客能从这些蛛丝马迹中发现弱点,操纵这种“预测”的路径,在适当的时候,挖掘到从进程数据缓存里泄露出来的数据。

而这个漏洞中,就可以利用一个名为L1的数据缓存,可以访问SGX保护的内存“飞地”。这些研究人员同时也发现,攻击可以暴露让SGX执行完整性检查的“证明密钥”。

每一次英特尔被曝出漏洞,总会有看热闹的网友在报道下评论:

AMD了解一下?

关键词: 英特尔安全漏洞

精选 导读

台风“黑格比”对我国近海的影响趋于结束,中央气象台停止对

据中央气象台网站消息,今年第4号台风黑格比已于昨天(5日)晚上11点钟由热带风暴级减弱为热带低压,并于今天(6日)凌晨3点钟前后在朝鲜黄海南

发布时间: 2020-08-06 14:46
要闻   2020-08-06

河北公布今年普通高校招生各批各类录取控制分数线

日前,经河北省招生委员会全体会议研究,确定了今年河北省普通高校招生各批各类录取控制分数线。7月23日0时,考生可登录河北省教育考试院网

发布时间: 2020-07-23 10:48
要闻   2020-07-23

低风险地区电影院可于7月20日有序恢复开放营业

中国国家电影局16日发布《关于在疫情防控常态化条件下有序推进电影院恢复开放的通知》称,低风险地区在电影院各项防控措施有效落实到位的前

发布时间: 2020-07-17 10:05
要闻   2020-07-17

黄河正式进入汛期,小浪底水库已按照要求降至汛限水位以下运

记者从水利部黄河水利委员会水旱灾害防御局了解到,自7月1日起,黄河正式进入汛期,小浪底水库已按照要求降至汛限水位以下运行。据介绍,黄

发布时间: 2020-07-16 14:33
要闻   2020-07-16

司法部2日发布2020年国家统一法律职业资格考试公告

司法部2日发布2020年国家统一法律职业资格考试公告,明确客观题考试网上报名时间为7月28日至8月12日,考试时间为10月31日、11月1日;主观题

发布时间: 2020-07-03 11:51
要闻   2020-07-03

热点 推荐

北京礼品展倒计时1个月!精彩纷呈邀共赏,翘首以盼迎客来!

北京礼品展1个月后将盛大开启!在时隔一年后,作为2022年年度北方首秀的礼业旗舰大展,本届展会广受各方关注,期待共赴早已约定的北京之约

发布时间: 2022-10-13 15:54
财经   2022-10-13

运营超过三千天 国产二次元手游《血族》如何赢得用户?

从《原神》这条鲶鱼入场开始,二次元游戏市场仿佛进入了一个硬碰硬的时代。无论是拥有开放游戏世界设定的《鸣潮》、《明日方舟:终末地》,

发布时间: 2022-10-13 14:14
财经   2022-10-13

抖音双11好物节玩法攻略详细解读来了!

双十一即将到来,抖音电商商家们的准备也愈加火热。欲善其事,必利其器。搞清双十一平台规则,拥抱每年大促节点的变与不变,才能提前做好谋

发布时间: 2022-10-13 12:30
财经   2022-10-13

北京人寿护航“京彩未来”:从“首善客服体系”构建,看消保

民惟邦本,本固邦宁,民之于邦,好比保险消费者之于保险业。作为重要的现代服务业,保险业只有坚守本源、优化服务,才能可持续实现高质量发

发布时间: 2022-10-13 11:06
财经   2022-10-13

炼石航空:硬核科技守望航空产业 订单反转铸就二次腾飞底气

【摘要】:炼石航空已构建了从高温合金、单晶叶片、航空零部件、航空发动机到大型无人机整机的全产业链体系。公司营收主要来源于子公司加德

发布时间: 2022-10-13 10:40
财经   2022-10-13

“减速机”小巨人科峰传动:坚持科技创新为中国制造“加速”

一家在黄冈土生土长的民营企业如何经历非凡十年的发展成长为全国最大的行星齿轮减速机生产商?科技创新,企业是主体。在湖北黄冈产业园里

发布时间: 2022-10-12 16:06
财经   2022-10-12

英国又来一只黑天鹅,特拉斯减税政策急转弯

「英国实施减税,英镑惨遭抛售」是外汇圈近期津津乐道的事件,英国新任首相 特拉斯在竞选时就主张减税,上任后也将「经济成长」订为国家的

发布时间: 2022-10-12 13:44
财经   2022-10-12

抖音双11好物节玩法攻略详细解读来了!

双十一即将到来,抖音电商商家们的准备也愈加火热。欲善其事,必利其器。搞清双十一平台规则,拥抱每年大促节点的变与不变,才能提前做好谋

发布时间: 2022-10-11 22:08
财经   2022-10-11

“质”在必得!美的连续23年开展质量月活动

质量发展是强国之基、立业之本、转型之要。我国每年9月都会举办全国质量月活动,在全国范围内动员全社会尤其是广大企业积极参与。作为第四届

发布时间: 2022-10-10 15:30
财经   2022-10-10

习创能源:引领新能源科技未来,实现个人收益环保双丰收

伴随着先进技术的不断涌现,人类赖以生存的地球面临着全球变暖和能源危机,双碳目标成为世界各国应对气候变化共同的价值追求。2030年,碳达峰,

发布时间: 2022-10-09 17:12
财经   2022-10-09

香港漫画教父黄玉郎拖欠员工工资 公司屡次违法失信被诉

号称香港漫画教父的黄玉郎,作为香港第一大漫画出版集团玉郎集团(今文化传信)、玉皇朝创办人,谁能想到,他竟然恶意拖欠员工工资,而且黄

发布时间: 2022-10-08 19:59
财经   2022-10-08

重阳节不脱节 大家保险跨界开心麻花推出《星球不独行》微电

10月4日,重阳节恰逢国庆假期,为了呼吁更多年轻人关注老年人内心需求,大家保险集团延续去年重阳节,不脱节主题,跨界喜剧流量IP开心麻花

发布时间: 2022-10-08 14:00
财经   2022-10-08

国际会计师公会AIA的全球视野和中国实践

1989年,英国《公司法》及《欧盟第8号公司法指令》制定了法定审计规则,AIA成为了对公司进行审计的法定资格认证机构,英国法律赋予了国际会

发布时间: 2022-10-08 10:43
财经   2022-10-08

浓缩乳行业白皮书在京发布,提纯乳备受追捧

由中国食品工业协会营养指导工作委员会牵头组织,植物源功能食品北京市重点实验室、中国农业大学、西南大学、内蒙古农牧业科学研究院等单位

发布时间: 2022-09-30 16:44
财经   2022-09-30

国际铂金协会(PGI)携手CRD克徕帝举办海獭先生JioJio Friend

(中国,长沙)2022年9月29日,国际铂金协会(PGI®)携手知名IP海獭先生JioJio和国内专业钻石品牌CRD克徕帝于长沙开启2022年第四站海獭

发布时间: 2022-09-30 13:24
财经   2022-09-30

虎扑X大象携手联合发行:超级巨星“孙兴慜”系列数字藏品!

本次虎扑体育携手大象数藏联合发行:21-22赛季英超金靴得主韩国球星「孙兴慜」系列数字藏品。双方合作共同打造树立数字藏品标杆意义的超级

发布时间: 2022-09-30 11:23
财经   2022-09-30

虎扑X大象携手联合发行:聚焦垂直领域,树立行业标杆!

本次虎扑体育携手大象数藏联合发行:21-22赛季英超金靴得主韩国球星「孙兴慜」系列数字藏品。双方合作共同打造树立数字藏品标杆意义的超级

发布时间: 2022-09-30 11:22
财经   2022-09-30

以太币改变算法,会好转吗

以太币於今年9月中旬修改了计算方式,将原先的挖矿机制PoW(工作量证明机制)转为PoS(权益证明机制),也宣告了矿卡挖以太币的时代过去,改用

发布时间: 2022-09-29 15:27
财经   2022-09-29

民生消保与您同行,用心守护您的财富

滴滴滴!一辆外形五彩缤纷,内里干货满满满载宣传手册的主题宣教车驶入南湾街道南岭村社区,民生银行金融知识普及宣传开始啦!小喇叭响起来,

发布时间: 2022-09-29 14:34
财经   2022-09-29

薪宝科技出席即时配送年度盛典,与达达、饿了么、美团等共创

近日,2022中国同城即时物流行业峰会启幕,薪宝科技受邀出席会议,其创始人兼CEO刘树兵作为特邀嘉宾出席圆桌对话,与美团、饿了么、达达等

发布时间: 2022-09-29 12:00
财经   2022-09-29