18禁网站免费,成年人黄色视频网站,熟妇高潮一区二区在线播放,国产精品高潮呻吟AV

學習啦>學習電腦>電腦硬件知識>CPU知識>

CPU漏洞的成因和預(yù)防

懷健 時間:

最近,CPU大規(guī)模爆出安全漏洞的消息鬧得人心惶惶。消息顯示,英特爾等CPU中存在嚴重的安全漏洞,這些漏洞會導(dǎo)致內(nèi)核內(nèi)存數(shù)據(jù)泄漏,身份驗證、密碼之類的數(shù)據(jù)都有通過漏洞泄漏的可能。下面就讓小編帶你去看看CPU漏洞的成因和預(yù)防吧,希望能幫助到大家!

漏洞預(yù)警 | CPU數(shù)據(jù)緩存機制存在設(shè)計缺陷

安全漏洞公告

近日,來自于谷歌Project Zero安全團隊的安全研究人員等報告,在CPU內(nèi)核中,存在關(guān)于數(shù)據(jù)緩存邊界機制的設(shè)計缺陷的“Meltdown”、“Spectre”的兩個漏洞,漏洞對應(yīng)的CVE漏洞編號分別為:CVE-2017-5754、CVE-2017-5753。目前已經(jīng)證實至少英特爾、AMD、ARM的處理器受到此漏洞影響。由于是CPU內(nèi)核設(shè)計缺陷,所以上層操作系統(tǒng)Windows、Linux、Mac OSX等均受到影響。值得特別關(guān)注的是,基于Xen PV、OpenVZ等構(gòu)架的云計算基礎(chǔ)設(shè)施平臺也受到該漏洞的影響。

目前該漏洞的部分測試程序已經(jīng)在互聯(lián)網(wǎng)上公開:https://github.com/turbo/KPTI-PoC-Collection

安全漏洞描述

處理器數(shù)據(jù)緩存邊界機制中存在一個缺陷,攻擊者可以通過濫用“錯誤推測執(zhí)行”來有效的泄露內(nèi)存信息?!癕eltdown”漏洞攻擊點可用于打破應(yīng)用程序和操作系統(tǒng)之間的內(nèi)存數(shù)據(jù)隔離,“Spectre” 漏洞攻擊點則可用于打破不同程序之間的內(nèi)存數(shù)據(jù)隔離。攻擊者可以利用此漏洞攻擊云計算平臺其他用戶,可能讀取到未加密明文密碼和一些敏感信息。

使用內(nèi)核頁表隔離(KPTI,以前稱為KAISER)技術(shù)通過上層操作系統(tǒng)的手段將用戶進程與內(nèi)核內(nèi)存完全隔開可以解決該問題。但這種隔離機制存在不足之處,每次出現(xiàn)系統(tǒng)調(diào)用以及硬件中斷時,需要在兩個隔離的地址空間上來回切換,這種切換過程比較昂貴,需要耗費一些時間。上下文切換不會立即發(fā)生,會強迫處理器轉(zhuǎn)儲已緩存的數(shù)據(jù)、重新從內(nèi)存中加載相關(guān)信息。這樣一來就增加了內(nèi)核的開銷,減慢計算機處理速度,以至于Linux以及Windows引入的這一特性帶來了大幅度性能的降低。

影響版本范圍

理論上過去十年內(nèi)生產(chǎn)的處理器,都受到此漏洞的影響。

當前已經(jīng)驗證存在漏洞的CPU型號如下:

Intel(R) Xeon(R) CPU E5-1650 v3 @ 3.50GHz (Intel Haswell Xeon CPU)

AMD FX(tm)-8320 Eight-Core Processor (AMD FX CPU)

AMD PRO A8-9600 R7, 10 COMPUTE CORES 4C+6G (AMD PRO CPU)

谷歌Nexus 5x手機的ARM Cortex A57處理器

修復(fù)建議

英特爾官方回應(yīng)稱,他們和相關(guān)科技公司已經(jīng)完全了解到了安全漏洞的工作機制,如果被惡意利用,有可能會造成信息數(shù)據(jù)泄露,但是絕沒有修改、刪除和導(dǎo)致系統(tǒng)崩潰的可能。英特爾強調(diào),他們已經(jīng)開始提供軟件和固件更新。當前暫時沒有最新的補丁參考信息。

CNNVD關(guān)于多個CPU數(shù)據(jù)緩存機制漏洞的通報

近日,國家信息安全漏洞庫(CNNVD)收到多個關(guān)于CPU數(shù)據(jù)緩存機制漏洞(Meltdown:CNNVD-201801-150、CVE-2017-5753和CNNVD-201801-152、CVE-2017-5715;Spectre:CNNVD-201801-151、CVE-2017-5754)情況的報送。成功利用以上漏洞的攻擊者可使用低權(quán)限的應(yīng)用程序訪問系統(tǒng)內(nèi)存,從而造成數(shù)據(jù)泄露。Intel、AMD、ARM的處理器及其關(guān)聯(lián)的上層操作系統(tǒng)和云平臺均受此漏洞影響,經(jīng)證實的操作系統(tǒng)包括Windows、Linux和MacOS,經(jīng)證實的云平臺包括基于Xen PV、OpenVZ等構(gòu)架的云端基礎(chǔ)設(shè)施。目前,微軟、蘋果、紅帽、亞馬遜、騰訊云、VMware等廠商針對相關(guān)漏洞提供了修復(fù)補丁或緩解措施

建議受影響的用戶及時確認產(chǎn)品版本和相關(guān)廠商發(fā)布的修復(fù)或緩解措施。鑒于漏洞存在于較為底層的組件,完全修復(fù)漏洞涉及的操作系統(tǒng)、應(yīng)用軟件較多,可能帶來兼容性和其他不可預(yù)知的問題,請受影響用戶綜合評估,謹慎選擇修復(fù)方案。

一、漏洞介紹

漏洞源于處理器數(shù)據(jù)緩存邊界機制中存在缺陷,攻擊者可以通過濫用“錯誤推測執(zhí)行”來有效的泄露內(nèi)存信息。Meltdown漏洞可用于打破應(yīng)用程序和操作系統(tǒng)之間的內(nèi)存數(shù)據(jù)隔離。 Spectre 漏洞可用于打破不同程序之間的內(nèi)存數(shù)據(jù)隔離。攻擊者利用漏洞可訪問計算機內(nèi)存,竊取數(shù)據(jù),還可以攻擊云計算平臺,獲取到其他用戶未加密明文密碼和一些敏感信息。

二、危害影響

成功利用以上漏洞的攻擊者可訪問內(nèi)存,讀取其他程序的內(nèi)存數(shù)據(jù),包括密碼、用戶的私人照片、郵件、即時通訊信息等敏感數(shù)據(jù)。由于漏洞的特殊性,因此涉及多個領(lǐng)域中的軟件和硬件廠商產(chǎn)品,包括Intel處理器、ARM處理器、AMD處理器;使用Intel處理器的Windows、Linux、MacOS等操作系統(tǒng)、云計算環(huán)境;Firefox瀏覽器、 Chrome瀏覽器、 Edge瀏覽器;VMware、亞馬遜、Red Hat、Xen等廠商產(chǎn)品均受到漏洞影響。

三、修復(fù)建議

由于漏洞的特殊性,涉及了硬件和軟件等多個廠商產(chǎn)品,建議受影響的用戶及時確認產(chǎn)品版本和相關(guān)廠商發(fā)布的修復(fù)或緩解措施。鑒于漏洞存在于較為底層的組件,完全修復(fù)漏洞涉及的操作系統(tǒng)、應(yīng)用軟件較多,可能帶來兼容性和其它不可預(yù)知的問題,請受影響用戶綜合評估,謹慎選擇修復(fù)方案。

三流黑客即可利用的CPU緩存漏洞 HTML5瀏覽器全部中招

該漏洞對最新型號的英特爾CPU有效,比如Core i7。另外,它還需要運行在支持HTML5的瀏覽器上??偟膩砜?,約有80%的臺式機滿足這兩個條件。

哥倫比亞大學的四位研究人員設(shè)想了這種攻擊:通過惡意網(wǎng)絡(luò)廣告向用戶投放JavaScript,然后計算數(shù)據(jù)到達CPU三級緩存的時間,進而推斷用戶正在進行的具體操作。

研究人員提醒谷歌、微軟、火狐、蘋果盡快升級自家的瀏覽器,以封堵該新型攻擊向量。不過目前還沒有補丁發(fā)布。

這種攻擊方式成本極低,特別適合三流黑客使用。使用這種彈窗攻擊方式的人,可能和那些成天張貼網(wǎng)絡(luò)小廣告的是同一撥人,這樣他們在煩你的同時還能追蹤你。”

研究人員發(fā)表的論文中提到,受害者不需要做任何事情,只是訪問帶有惡意JS的網(wǎng)頁就有可能遭到這種攻擊。

這種攻擊方式能夠讓一個進程收集與之并行的其它進程的信息。不管是進程、用戶、還是虛擬機,只要和加載JS的進程公用同一個CPU,相關(guān)信息都會暴露。

一旦CPU加載了惡意的JavaScript進程,它就會將緩存裝填為特定狀態(tài),然后等待用戶進行某個操作,比如按下按鍵,進而用瀏覽器自帶的高精度計時器記錄操作信息通過內(nèi)存塊的時間。如果某個執(zhí)行周期比其它的完成得更快,此時內(nèi)存塊就還在緩存里。有了這個信息,攻擊者可以繪制內(nèi)存對按下按鍵和鼠標移動的反應(yīng)情況,進而重塑用戶使用情景。

在帶有i7處理器、運行OS X版本10.10.2的Mac上,對Firefox 35.0.1瀏覽器進行測試,惡意JS在一分鐘內(nèi)就能繪制出三級緩存的一半內(nèi)容,15秒內(nèi)即可繪制四分之一。

該研究本質(zhì)上是很學院派的,并不容易實現(xiàn)。但它給我們了很好的啟示,因為傳統(tǒng)的邊信道攻擊都要求黑客從物理上接近其受害者,并有在本地執(zhí)行任意代碼的權(quán)限。(回復(fù)“邊信道1”,可查看其他8種邊信道攻擊)

研究人員認為,這是第一種同時可以針對上百萬目標的邊信道攻擊。任何使用新型英特爾CPU和HTML5瀏覽器的設(shè)備都有可能成為目標。AMD公司的CPU由于其cache設(shè)計,對這種攻擊基本免疫。

這種新型攻擊給出了邊信道攻擊的一種前所未有的思路,同時也提醒各機構(gòu)注意建立防御邊信道攻擊的算法和系統(tǒng)。

研究人員在瀏覽器打上補丁之前不會放出攻擊的具體代碼,他們建議,用戶在使用瀏覽器時應(yīng)當盡可能關(guān)閉不用的標簽,尤其是在進行重要操作時。

CPU漏洞的成因和預(yù)防相關(guān)文章

CPU漏洞的成因和預(yù)防

最近,CPU大規(guī)模爆出安全漏洞的消息鬧得人心惶惶。消息顯示,英特爾等CPU中存在嚴重的安全漏洞,這些漏洞會導(dǎo)致內(nèi)核內(nèi)存數(shù)據(jù)泄漏,身份驗證、密碼之類的數(shù)據(jù)都有通過漏洞泄漏的可能。下面就讓小編帶你去看看C
推薦度:
點擊下載文檔文檔為doc格式

精選文章

  • CPU選購實用基礎(chǔ)知識
    CPU選購實用基礎(chǔ)知識

    我們購買電腦,往往會關(guān)心CPU的性能好壞,CPU的性能好壞直接影響了電腦的運算速度,我們可以將CPU比喻成大腦,是計算機的核心,決定了電腦速度好壞。

  • CPU緩存作用知識科普
    CPU緩存作用知識科普

    說到CPU的規(guī)格參數(shù),相信很多小伙伴都看到過電商、評測、官方的各種表格,大家覺著最重要的是什么?第幾代核心?頻率?還是制造工藝?從這些參數(shù)在表格里

  • CPU選購實用知識大全
    CPU選購實用知識大全

    如果說智能設(shè)備是一個生命體的話,那CPU就是最為重要的大腦,無論是手機,平板,還是電腦都不例外,當然還包括近幾年興起的智能電視和電視盒子,

  • CPU緩存用處意義解釋
    CPU緩存用處意義解釋

    簡而言之,因為內(nèi)存太慢了,實際上內(nèi)存之所以誕生也是基于類似的原因。理論上來說,一臺計算機只需要外部存儲器就能運行,但是這樣速度太慢,尤其

813518