安全研究人員今日公佈了一系列影響英特爾微處理器的潛在安全漏洞,其可能導致使用者機器上的資訊被洩露。
由英特爾安全公告可知,新漏洞使得惡意程序能夠從同一 CPU 核心上執行的另一個程序那裡讀取資料(涉及在 CPU 核心中使用的緩衝區)。
因為資料不會在程序切換時被清除,惡意程序可以推測性地從所述緩衝區中取樣資料、知曉其中的內容、從同一 CPU 核心上執行的另一個程序中讀取資料。
據悉,當在核心和使用者空間、主機和客戶機、或兩個不同的使用者空間程序之間進行切換時,就有可能發生這種情況。這幾個漏洞分別為:
● CVE-2018-12126:儲存緩衝區資料取樣(MSBDS)
● CVE-2018-12127:載入埠資料取樣(MLPDS)
● CVE-2018-12130:填充緩衝區資料取樣(MFBDS)
● CVE-2019-11091:對不可快取記憶體的資料取樣(MDSUM)
【受影響產品列表】
為了修復上述影響英特爾旗下各款處理器的問題,該公司已於今日釋出了專門的微程式碼更新。但想要順利緩解這些潛在的威脅,仍需各個製造商進行韌體的分發。
對此,我們建議所有已知的計算機作業系統(含 Windows、Linux、Mac、BSD 等)使用者,均在第一時間部署安裝新的韌體更新。
在某些 Linux 發行版上(Canonical、Red Hat 等),使用者不僅需要更新英特爾的微程式碼韌體,還需要安裝相應的 Linux 核心與 QEMU 軟體包,才能充分緩解新曝光的安全漏洞的影響。
【還有一些計劃外的產品】
英特爾表示,其已與各大作業系統廠商和裝置製造商們採取了密切的合作,為保護使用者受潛在的攻擊而提供切實可行的解決方案。
安全研究人員今日公佈了一系列影響英特爾微處理器的潛在安全漏洞,其可能導致使用者機器上的資訊被洩露。
由英特爾安全公告可知,新漏洞使得惡意程序能夠從同一 CPU 核心上執行的另一個程序那裡讀取資料(涉及在 CPU 核心中使用的緩衝區)。
因為資料不會在程序切換時被清除,惡意程序可以推測性地從所述緩衝區中取樣資料、知曉其中的內容、從同一 CPU 核心上執行的另一個程序中讀取資料。
據悉,當在核心和使用者空間、主機和客戶機、或兩個不同的使用者空間程序之間進行切換時,就有可能發生這種情況。這幾個漏洞分別為:
● CVE-2018-12126:儲存緩衝區資料取樣(MSBDS)
● CVE-2018-12127:載入埠資料取樣(MLPDS)
● CVE-2018-12130:填充緩衝區資料取樣(MFBDS)
● CVE-2019-11091:對不可快取記憶體的資料取樣(MDSUM)
【受影響產品列表】
為了修復上述影響英特爾旗下各款處理器的問題,該公司已於今日釋出了專門的微程式碼更新。但想要順利緩解這些潛在的威脅,仍需各個製造商進行韌體的分發。
對此,我們建議所有已知的計算機作業系統(含 Windows、Linux、Mac、BSD 等)使用者,均在第一時間部署安裝新的韌體更新。
在某些 Linux 發行版上(Canonical、Red Hat 等),使用者不僅需要更新英特爾的微程式碼韌體,還需要安裝相應的 Linux 核心與 QEMU 軟體包,才能充分緩解新曝光的安全漏洞的影響。
【還有一些計劃外的產品】
英特爾表示,其已與各大作業系統廠商和裝置製造商們採取了密切的合作,為保護使用者受潛在的攻擊而提供切實可行的解決方案。