服务器之家:专注于服务器技术及软件下载分享
分类导航

服务器资讯|IT/互联网|云计算|区块链|软件资讯|操作系统|手机数码|百科知识|免费资源|头条新闻|

Intel处理器再出新漏洞:为提升CPU性能留下安全隐患

2019-08-08 22:43快科技宪瑞 IT/互联网

2018年爆出的幽灵、熔断及预兆三大 漏洞 及其变种让 Intel 处理器 疲于应对、狼狈不堪,而老对手AMD却轻易从这场危机中脱身,所受影响远不如Intel那么大,毕竟Intel处理器份额更大,特别是在数据中心市场上。 2019年了,处理器安

2018年爆出的幽灵、熔断及预兆三大漏洞及其变种让Intel处理器疲于应对、狼狈不堪,而老对手AMD却轻易从这场危机中脱身,所受影响远不如Intel那么大,毕竟Intel处理器份额更大,特别是在数据中心市场上。

2019年了,处理器安全漏洞的问题并没有完全解决,这是一场长期的斗争。

日前知名安全软件公司Bitdefender的研究人员又发现了一种新的侧信道攻击方式,它能绕过之前为了修复熔断、幽灵而做出的缓解措施。

这个新漏洞会影响Intel比较新的处理器,包括Intel Ivy Bridge及之后的处理器,涉及台式机、笔记本、服务器等领域。

这次研究是跟Intel合作的,双方合作研究了一年多,并且还跟微软合作,后者已经推出了新的补丁。

与以往不同的是,为了研究现代处理器的漏洞问题,Bitdefender的团队深入了解了CPU的内部原理,包括分支预测、乱序执行、推测执行、流水线及缓存系统等,还研究了OS系统的系统调用、中断及异常处理、KPTI等机制。

Bitdefender指出,厂商为了提高CPU的性能,开发出了各种版本的预测执行机制,使得CPU在确定指令是否执行之前会预先对可能需要的指令进行有根据的预测,这种预测执行会在缓存中留下痕迹,使得攻击者可以利用这些痕迹来提权攻击内核。

Bitdefender的这个解释其实就是为什么越现代的处理器越容易被幽灵、熔断之类的侧信道漏洞攻击的根本,关键就在于为了提高CPU性能,Intel等厂商都会提高CPU的分支预测能力,支持预测执行指令(SWAPGS),一旦预测中了就能节省大量时间进而提高CPU性能,但是这样做就容易把缓存中的数据暴露给攻击者。

这也是为什么OpenBSD之前对Intel处理器的HT超线程技术采取激进手段直接禁用的原因,HT超线程就大大利用了分支预测等手段提高性能,但是从安全角度来说这是不利的。

想要详细了解这次漏洞的可以参考Bitdefender的专题文章,这件事充分说明了现代处理器提高性能不是免费的,有得必有失,只不过对普通人来说漏洞问题影响没那么严重,只是小概率事件,还是性能更重要。

Intel处理器再出新漏洞:为提升CPU性能留下安全隐患

延伸 · 阅读

精彩推荐
  • IT/互联网广投集团拟35亿元入股网宿科技 持股12%成最大股东

    广投集团拟35亿元入股网宿科技 持股12%成最大股东

    【TechWeb】 6 月 10 日,网宿科技近日发布公告,公司股东陈宝珍及刘成彦与广西投资集团有限公司签署了《股份转让框架协议》,拟转让股份数合计为总股本的12%,转让价格为 12 元,合计交易金额总计35. 03 亿元。 若本次交易顺利...

    Techweb1572019-06-10
  • IT/互联网国产数据库挑战,消息称华为GaussDB内核将开源

    国产数据库挑战,消息称华为GaussDB内核将开源

    7月23日,有消息称在正在进行的鲲鹏计算产业论坛上, 华为 宣布将 开源 其GaussDB数据库。 GaussDB数据库是今年5月15日华为在北京面向全球发布的,它被称为全球首个人工智能原生(AI-Native)数据库。 根据华为的介绍,GaussDB具有两大...

    开源中国4512019-07-24
  • IT/互联网黑客利用WordPress聊天插件漏洞注入文本、窃取日志

    黑客利用WordPress聊天插件漏洞注入文本、窃取日志

    WordPress的聊天插件WP Live Chat Support中出现了严重的身份验证绕过漏洞( CVE-2019-12498),可被不具备有效凭证的黑客利用,访问原本被限制的RESTAPI端口。具体来说,暴露的REST API端点可能允许潜在的攻击者提取网站中所有聊天会话的完整...

    安全狗2102019-06-12
  • IT/互联网国产操作系统Deepin深度体验

    国产操作系统Deepin深度体验

    在21世纪,人类在办公、学习、娱乐、移动通信等各个领域都离不开操作系统。无论是桌面版的Windows、Mac还是移动端的iOS、Android都是我们日常所能接触到的最常用的操作系统,他们无一例外全部来自于美国。如果说原来谈论国产操...

    中关村在线4882019-06-02
  • IT/互联网好消息!微软发话:Windows 10更新硬盘空间只要20G

    好消息!微软发话:Windows 10更新硬盘空间只要20G

    微软Windows 10的五月更新,终于不再强制、偷偷升级用户的系统了。这次更新,带来的变化比较多,官方自然非常建议用户去升级。不过,其中一项对电脑的存储空间的要求,则让不少人犯了难。 之前,微软表示,想要安装Windows...

    雷科技4242019-06-04
  • IT/互联网英特尔收购网络芯片公司Barefoot,后者获阿里腾讯投资

    英特尔收购网络芯片公司Barefoot,后者获阿里腾讯投资

    北京时间6月11日消息,英特尔公司将收购网络芯片创业公司Barefoot Networks Inc,在加强Barefoot网络芯片技术的同时更好地与博通公司竞争。 Barefoot网站显示,在英特尔实施这笔收购交易之前,Barefoot已经获得了谷歌母公司Alphabet、阿里...

    凤凰科技4022019-06-11
  • IT/互联网喝“千滚水”会中毒?中科协辟谣2019十大科学流言

    喝“千滚水”会中毒?中科协辟谣2019十大科学流言

    IT之家6月2日消息 据谣言过滤器消息,5月30日中国科学技术协会发布2019科学流言榜,流传最广的前十大流言通过大数据和专家评审推选出炉。腾讯新闻联合科协邀请十位专家击破流言,为科学正名。 2019中国科学流言榜 1、电子烟无...

    IT之家2042019-06-03
  • IT/互联网微信小程序和公众号流量主广告收入分成比例整体调优

    微信小程序和公众号流量主广告收入分成比例整体调优

    【TechWeb】5月31日消息,据微信广告助手官方微信公众号消息,为进一步鼓励和支持原创优质的内容创作者和小程序(小游戏)开发者,2019年6月1日起,微信小程序流量主和公众号流量主广告收入分成比例政策优化调整,优质流量主将...

    Techweb2112019-05-31