色哟哟视频在线观看-色哟哟视频在线-色哟哟欧美15最新在线-色哟哟免费在线观看-国产l精品国产亚洲区在线观看-国产l精品国产亚洲区久久

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
电子发烧友
开通电子发烧友VIP会员 尊享10大特权
海量资料免费下载
精品直播免费看
优质内容免费畅学
课程9折专享价
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

英特爾芯片兩年內第三次爆出嚴重安全漏洞,2011年以后的芯片幾無幸免

電子工程師 ? 來源:YXQ ? 2019-05-17 15:54 ? 次閱讀
加入交流群
微信小助手二維碼

掃碼添加小助手

加入工程師交流群

還記得英特爾處理器 2018 年初爆出的嚴重漏洞“幽靈”和“熔斷”嗎?它們影響了 20 多年來所有的芯片。

美國時間 5 月 14 日,英特爾芯片又爆出了一組新的嚴重漏洞,共包含 4 個 bug,官方命名為“微架構數據采樣漏洞(Microarchitectural Data Sampling)”,但漏洞發現者給它起了一個更酷的名字——“ZombieLoad(僵尸負載)”。

(來源:zombieloadattack.com)

從披露的數據來看,它幾乎影響所有 2011 年以后的英特爾芯片,無論是 PC 處理器,還是服務器處理器,都會受到影響,涵蓋 Xeon 、Broadwell 、Sandy Bridge 、Skylake 、Coffee Lake 和 Atom 等多個家族。

這組漏洞允許黑客通過旁路攻擊的方式,繞開芯片的加密算法,直接獲得 CPU 正在處理的程序數據和帳號密碼等敏感信息。如果該核心在并行處理多組數據,它們都會遭到泄漏,而用戶可能對此一無所知。

英特爾官方表示,尚未發現利用該漏洞的攻擊事故,并且強調了漏洞“只能讓攻擊者獲得攻擊時的數據”,而不是“任何他想要獲得的數據”,試圖淡化漏洞的負面影響。

芯片設計缺陷導致的漏洞

與之前的“幽靈”和“熔斷”漏洞類似,“ZombieLoad”也是由芯片設計缺陷導致的漏洞。這意味著攻擊者無需運行木馬等惡意軟件,就有機會獲取處理器中的核心數據。不過之前不同的是,該漏洞只影響英特爾的芯片,并不影響 AMDARM 架構芯片。

“ZombieLoad”最早在 2018 年被多個獨立安全團隊發現,包括英特爾內部團隊和奧地利格拉茨科技大學團隊。后者對其觸發機制、工作原理和影響范圍進行了深入研究,并且在去年 6 月匯報給了英特爾。

他們認為,該漏洞比“幽靈”更容易觸發,但比“熔斷”更難觸發。

從整體上看,攻擊者利用該漏洞的方式與利用“熔斷”漏洞的方式類似,根源都在于“預測執行(speculative execution)”和“亂序執行(out-of-order execution)”。

兩者都是現代處理器常用的優化技術。前者指的是 CPU 會預測未來一段時間內可能會用到的數據并執行計算,這樣就可以在需要時立刻使用計算結果。后者指的是 CPU 不會嚴格按照指令的順序串行執行,而是將指令分組并行執行,最后再整合每組指令的執行結果。

如果遇到了異常指令或預測錯誤,CPU 會丟掉之前的計算結果,恢復到預測執行和亂序執行之前的狀態,然后再重新執行計算任務。

這樣設計的初衷是靈活利用緩存和并行處理能力,提升 CPU 的運算性能。然而,之前的“熔斷”漏洞就是利用了“異常指令出現時,CPU 緩存內容不會恢復”的設計缺陷。

雖然英特爾之后推出了多個安全補丁封堵漏洞,但這次的“ZombieLoad”依舊借助亂序和預測執行的設計缺陷,攻陷了芯片的防護機制,證明類似的變種攻擊手段仍然有效。

具體來說,“ZombieLoad”可以歸納為微架構數據采樣漏洞(MDS)。它可以在不觸發架構異常的情況下,僅憑微架構指令錯誤,比如在微架構內部重新發送內存請求,就能發動攻擊,獲取處理器中的數據。

與“熔斷”不同的是,“ZombieLoad”獲取的是芯片內部緩沖區(buffer)的數據。如果我們將 CPU 視為不同組件構成的小型網絡,那么在程序運行時,緩沖區就負責儲存組件之間通信的數據流量。

這些流量本來只屬于對應程序的,比如你在用瀏覽器查看什么網頁,輸入的賬號密碼,其它程序無法獲取。不過攻擊者可以通過“ZombieLoad”漏洞欺騙 CPU,截獲這些敏感數據。

研究人員指出,對于 PC 用戶來說,這種漏洞可能會導致特定隱私數據泄露,包括帳號、密碼、姓名和地址等等。他們還展示了一個小型的攻擊演示,證明用戶數據確實會在毫不知情的情況下被惡意盜取。

圖 | 安全研究人員展示用 ZombieLoad 漏洞實時監視用戶所瀏覽的網頁(來源:zombieloadattack.com)

更嚴重的是,對于亞馬遜和微軟這樣的云服務提供商,服務器處理器很可能會同時處理多個客戶的需求,“ZombieLoad”這樣的漏洞就會變得非常惡劣,一旦被濫用,可能導致大規模的機密數據泄露。

不過想要觸發該漏洞也很困難,攻擊者必須獲得接觸機器的機會,還要運行惡意軟件,而且還只能獲得正在運行中的程序的數據,不能選擇自己想要竊取的數據。這一點大大降低了它對于黑客的價值。

打補丁堵漏洞,但處理器性能可能下降

目前,英特爾已經放出了漏洞補丁,將聯合電腦 OEM 廠商推送微碼更新(MCU),部分受影響的處理器性能將會略微下降(1% - 19% 不等)。

由于“ZombieLoad”漏洞是由英特爾公司和第三方安全研究公司聯合公布的,按照業界慣例,他們會提前通知各大設備廠商,給他們充足的時間開發補丁。因此,微軟、蘋果、谷歌和亞馬遜等公司也都發出公告,紛紛表示已經或即將為旗下產品推送安全補丁,封堵漏洞。

從英特爾官方和微軟、蘋果、谷歌等企業的迅速行動來看,“ZombieLoad”漏洞或許不會對日常生活造成太大的影響,大部分處理器性能的縮水也都在可接受范圍內,因此我們也不必太過擔心,積極安裝官方推送的安全補丁即可。

圖 | 對英特爾酷睿 i9-9900K 處理器的影響(來源:英特爾)

PC 領域兩巨頭之一的蘋果公司表示,系統更新至 Mojave 10.14.5 的蘋果電腦將會是安全的,并且不會有顯著的性能影響,除非用戶選擇運行全套安全補丁,則可能受到最高為 40% 的性能損失。微軟同樣已在最新的系統更新里部署相關的補丁。

在移動設備與云服務領域,谷歌表示,只有使用英特爾芯片的安卓系統才會有漏洞,用戶需要安裝具體設備產商最新的更新來補上漏洞,而谷歌自主的 Chromebook 產品則已經完成補丁更新。亞馬遜則在第一時間更新了所有 AWS 的主機,表示產品已不會收到此漏洞的影響。

本次的“ZombieLoad”漏洞并非是英特爾芯片的第一個大規模嚴重漏洞。早在 2018 年 1 月 3 日,英特爾的芯片產品就曾被爆出存在巨大的設計缺陷,能夠引起兩種網絡黑客攻擊。它們就是大名鼎鼎的“熔斷(Meltdown)”和“幽靈(Spectre)”。

(來源: 格拉茨技術大學/Natascha Eibl)

“熔斷”是一種打破應用程序與操作系統之間隔離的攻擊。當隔離消失后,軟件就可以直接訪問內存,從而直接調取其他應用程序和系統資源;“幽靈”則是一種打破不同應用程序之間隔離的攻擊。它可以讓黑客進行偽裝,騙過系統的檢測,最終達到調取資源的目的。

在這兩個漏洞中,英特爾處理器沒有對兩種訪問方式進行限制,處理器直接給一些存在安全隱患的操作開了綠燈。

當然,同樣按照業界慣例,這兩個漏洞也是與各大公司的安全補丁同時公布的。沒有打補丁的朋友一定要立刻去進行系統更新!

數據安全是一個嚴肅的話題,尤其是當今,我們把大量的信息都以數據形式存在了個人電腦以及云端。來自處理器的設計缺陷會致使這些數據被盜竊和濫用,導致用戶損失個人財產。當 AI 技術商業落地后,安全漏洞和處理器效率的重要性幾乎是等價的,它們分別影響了用戶使用服務的保障以及服務體驗。作為該領域最重要的硬件廠商,英特爾更應該做好這方面工作,這是不可推卸的責任。

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • 芯片
    +關注

    關注

    459

    文章

    52464

    瀏覽量

    440099
  • 英特爾
    +關注

    關注

    61

    文章

    10192

    瀏覽量

    174568

原文標題:英特爾芯片兩年內第三次爆出嚴重安全漏洞,2011年以后的芯片幾無幸免

文章出處:【微信號:deeptechchina,微信公眾號:deeptechchina】歡迎添加關注!文章轉載請注明出處。

收藏 0人收藏
加入交流群
微信小助手二維碼

掃碼添加小助手

加入工程師交流群

    評論

    相關推薦
    熱點推薦

    舜宇車載光學召開車載激光雷達團體標準第三次會議

    近日,由舜宇車載光學牽頭的《車載激光雷達典型光學器件可靠性要求及檢測方法》團體標準第三次工作組會議在浙江省余姚市召開。
    的頭像 發表于 06-20 09:31 ?265次閱讀

    英特爾Intel 18A制程芯片2025量產計劃公布

    近日舉行的英特爾新質生產力技術生態大會上,英特爾高級副總裁兼中國區董事長王銳宣布了一項令人振奮的消息:英特爾的先進制程芯片Intel 18A預計將在2025
    的頭像 發表于 11-28 17:37 ?1594次閱讀

    英特爾獲78.6億美元美國芯片補貼

    和俄勒岡州的關鍵半導體制造和先進封裝項目。這些項目旨在提升美國在先進芯片制造領域的競爭力,確保供應鏈的穩定性和安全性。 英特爾表示,這筆補貼將對其在美國的半導體制造計劃產生積極而深遠的影響。通過投資這些項目,
    的頭像 發表于 11-27 10:58 ?550次閱讀

    英特爾12月或發布Battlemage GPU芯片

    近日,有關英特爾即將在12月發布全新Battlemage GPU芯片的傳聞再次被證實。據硬件挖掘者和泄密者Tomasz Gawrońsk分享的預告圖顯示,英特爾極有可能在AMD RDNA 4和英偉達Blackwell之前,率先推
    的頭像 發表于 11-19 17:37 ?805次閱讀

    AMD第三季度CPU出貨量激增,挑戰英特爾市場地位

    最新的投資報告顯示,AMD在微芯片領域的競爭中正逐漸嶄露頭角,對老牌巨頭英特爾構成了有力挑戰。數據顯示,在2024第三季度,AMD的CPU出貨量實現了顯著增長,而
    的頭像 發表于 11-13 14:09 ?654次閱讀

    美國政府擬增援英特爾

    資金,但是芯片法案的補貼遲遲沒有下發,初步測算,英特爾預計從芯片法案中可獲得 85 億美元的補貼和 110 億美元的低息貸款。 而在2024第三
    的頭像 發表于 11-04 15:08 ?638次閱讀

    英特爾第三季度凈虧損169.89億美元

    英特爾近日公布了其2024第三季度的財務報告,業績出現大幅下滑。數據顯示,該季度英特爾的凈營收為132.84億美元,較去年同期下降了6%。
    的頭像 發表于 11-01 17:10 ?637次閱讀

    英特爾考慮出售Altera股權

    近日,英特爾(Intel)正積極尋求出售其可編程芯片制造子公司Altera的股權,并考慮引入戰略投資或PE投資。據悉,英特爾對Altera的估值約為170億美元,而英特爾于2015
    的頭像 發表于 10-21 15:42 ?881次閱讀

    剛剛!英特爾最新回應

    10月17日消息,據環球時報報道,中國網絡空間安全協會發文,披露英特爾產品安全漏洞問題頻發、可靠性差、監控用戶、暗設后門等問題,“建議啟動網絡安全審查”! 該協會表示,從2023
    的頭像 發表于 10-17 17:35 ?608次閱讀
    剛剛!<b class='flag-5'>英特爾</b>最新回應

    英特爾推遲歐洲芯片工廠建設計劃

    英特爾公司近日宣布了一項重大調整,決定將其在德國薩克森-安哈特州及波蘭弗羅茨瓦夫市的芯片工廠建設計劃推遲兩年。這一決定由英特爾首席執行官帕
    的頭像 發表于 09-20 17:38 ?1111次閱讀

    英特爾和AWS共同投資定制芯片

    英特爾與全球云計算巨頭亞馬遜AWS達成了一項重大合作,標志著英特爾制造業務迎來了一位重量級客戶——AWS。此次合作不僅可能為英特爾正在美國興建的芯片工廠注入新的活力,更有望助力這家老牌
    的頭像 發表于 09-19 16:53 ?681次閱讀

    英特爾將進一步分離芯片制造和設計業務

    面對公司成立50來最為嚴峻的挑戰,英特爾宣布了一項重大戰略調整,旨在通過進一步分離芯片制造與設計業務,重塑競爭力。這一決策標志著英特爾在應對行業變革中的堅定步伐。
    的頭像 發表于 09-19 16:48 ?600次閱讀

    IBM Cloud將部署英特爾Gaudi 3 AI芯片

    近日,科技巨頭IBM與英特爾宣布了一項重大合作計劃,雙方將共同在IBM Cloud平臺上部署英特爾最新的Gaudi 3 AI芯片,預計該服務將于2025初正式上線。此次合作標志著
    的頭像 發表于 09-03 15:52 ?652次閱讀

    軟銀與英特爾AI芯片合作計劃告吹

    近日,科技界傳來消息,軟銀集團與英特爾公司關于共同開發人工智能(AI)芯片的合作計劃以失敗告終。據悉,雙方曾計劃攜手生產AI芯片,以挑戰英偉達在市場的領先地位,但終因英特爾無法滿足軟銀
    的頭像 發表于 08-16 17:46 ?1217次閱讀

    英特爾暫停法國與意大利芯片投資,歐洲微芯片雄心受挫

    美國半導體巨頭英特爾近日宣布暫停對法國和意大利的芯片廠投資計劃,這一決定無疑給歐洲旨在增強本地芯片生產能力的雄心帶來了重大挫折。
    的頭像 發表于 07-23 16:49 ?837次閱讀
    主站蜘蛛池模板: 日韩美女爱爱 | 果冻传媒mv国产陈若瑶主演 | lesbabes性欧美 | 色橹橹欧美在线观看视频高清 | 99热在线视频这里只精品 | 拔萝卜在线高清观看视频 | 国产AV无码一二三区视频 | 天天躁人人躁人人躁狂躁 | 网友自拍偷拍 | 亚洲人成在线播放网站岛国 | 色中色辩论区 | 久久久无码精品亚洲A片猫咪 | 国产原创剧情麻豆在线 | 中国字字幕在线播放2019 | 国产乱码伦人偷精品视频 | 村妇偷人内射高潮迭起 | 国产东北男同志videos网站 | 免费观看男生桶美女私人部位 | 国产亚洲精品久久久久久鸭绿欲 | 亚洲精品无码一区二区三区四虎 | 老师扒开尿口男生摸尿口 | 亚洲日本欧美产综合在线 | 亚洲高清在线精品一区 | 两个吃奶一个添下面视频 | 色欲久久综合亚洲精品蜜桃 | 麻豆精品传媒一二三区 | black大战chinese周晓琳 | 麻豆一区二区免费播放网站 | 一道本无吗d d在线播放 | 老师我好爽再深一点老师好涨 | 宿舍BL 纯肉各种PLAY H | 中文字幕视频在线观看 | 国产九色在线 | 婷婷五月久久丁香国产综合 | 日韩高清在线亚洲专区 | 久久在精品线影院精品国产 | 性直播免费 | 欧美激情视频在线观看一区二区三区 | 久久囯产精品777蜜桃传媒 | 自慰弄湿白丝袜 | 成人性生交大片免费看金瓶七仙女 |

    電子發燒友

    中國電子工程師最喜歡的網站

    • 2931785位工程師會員交流學習
    • 獲取您個性化的科技前沿技術信息
    • 參加活動獲取豐厚的禮品