比 Spectre 更具威脅,英特爾公布了更多晶片漏洞
https://goo.gl/qPmVuV
在今年初,有安全研究人員披露了英特爾及 AMD 計算晶片存在可能被竊取數據的漏洞,
而目前被發現與 Spectre 類似漏洞已多達 8 個。英特爾表示,雖然還沒有發現這些漏洞
被實際應用的案例,但公司已著手發布安全性更新。
值得注意的是,最新的漏洞 CVE-2018-3615、CVE-2018-3620、CVE-2018-3646 可能允許
駭客從虛擬機器(VM)中發動對客戶端的攻擊,繞過英特爾的 SGX 防護技術,甚至攔截
VM 之間傳輸的密碼及密鑰,將可能會影響許多企業用戶。英特爾表示,已與各個行業合
作夥伴分享最近被稱為 L1 終端故障(L1TF)的側通道攻擊途徑。
因為這是與此前 Spectre 漏洞相似的問題,估計同樣會影響 Core 及 Xeon 系列等泛用
的處理器。不過英特爾也強調,在今年初發布的微代碼更新(MCU)也同樣可以作為解決
方案的基礎。且就如同 3 月時所宣布,這些問題在下一代的處理器上已不會發生,只要
進行安全更新,將能大幅降低消費者和企業用戶的風險,且對處理器的性能影響不大。
英特爾承認,的確在某些特定狀況下,安全更新會對特定工作負載的性能或資源利用率造
成影響,但公司也將會針對不同客戶的需求來推出多種解決方案,讓客戶自行做選擇。英
特爾會持續致力於對產品的安全保障,並繼續維護更新。不過此前才剛有消息指出,英特
爾將停止舊款產品的 Spectre 漏洞支援。
目前有消息指出,微軟與 Linux 都將開發自己的補丁,Mac 及 iOS 預計也會陸續推出更
新。在消息公布後,英特爾股價又再度下跌 1%,而 AMD 則即時否認有同樣的問題。目前
英特爾已用高危等級來處理新發現的漏洞。