鬧心:英特爾CPU再被發現四個嚴重安全漏洞,還是沒法徹底修復
這些漏洞與此前的幽靈系列漏洞極其相似但其威脅程度更高,發現漏洞的研究人員將其命名為幽靈天堂漏洞。
研究人員共計給英特爾提交八個幽靈天堂系列漏洞,經英特爾確認後其中4個為嚴重等級剩餘4個為中等危害。
當然這裡還是提下幽靈天堂系列漏洞同樣不止影響英特爾的處理器,如AMD等公司的處理器同樣會被影響。
註:AMD公司暫時未發布官方聲明,只是說已經開始檢查漏洞並進行確認中、尚未確認。
威脅程度比此前的幽靈漏洞更高:
這次新被發現的系列安全漏洞雖然類似幽靈漏洞但威脅程度更高,攻擊者們甚至可以利用其逃離虛擬化環境。
正式如此研究人員才會認為雲計算以及託管雲伺服器的公司會是攻擊的主要目標,攻擊者可利用其傳輸數據。
而存儲在雲端伺服器上的各種網站私密數據如密碼等若被泄露,那麼將會給網站和用戶造成極大的安全危害。
如何修復也是個大問題:
幽靈天堂系列漏洞實際上與幽靈漏洞同宗同源,因此此前發布的微代碼更新雖然會提高系統開支但亦可防禦。
遺憾的是某些操作系統的某些版本至今還沒有收到微代碼更新,也就是說使用這些系統的用戶始終是暴露的。
例如微軟到現在還沒有給Windows 7和Windows 8.1發布升級版的微代碼更新,這些用戶面臨著安全威脅。
更糟糕的是Windows 7和Windows Server 2008 R2此前安裝的微代碼更新甚至會給系統帶來新的安全漏洞。
英特爾公司則是計劃在2018年5月份發布新版漏洞補丁,然後再在2018年8月份時發布第二批漏洞修復補丁。
英特爾公司的官方聲明:
保護客戶的數據並確保我們產品的安全性對我們來說直觀重要,我們經常與合作夥伴和研究人員等緊密合作。
通過與合作夥伴的共同努力我們了解並致力於緩解所發現的問題,其中部分問題已經預留CVE編號待被公開。
我們深信協調披露漏洞數據的價值,我們將在發布緩解漏洞的措施時發布有關漏洞和潛在威脅的額外細節等。
PS:看英特爾的這份聲明似乎是早已知道還有其他漏洞但尚未發布解決方案,所以只預留CVE編號沒有披露。
版軟體促銷活動:
※微軟工程師被指控參與勒索軟體詐騙和洗錢等
※春季創意者更新將延遲2 4周發布,Build 17133已經失去RTM版資格
TAG:藍點網 |