中国公司首次发现CPU漏洞 微软致谢360
最近,微软公布新一轮漏洞公告,向国内团队公开致谢——360公司、清华大学硬件安全和密码芯片实验室共同发现了新的CPU漏洞,这一漏洞被归类为 L1TF(L1终端故障)。这是国内安全人员首次发现CPU漏洞并获得致谢。
目前发现,此类漏洞只影响英特尔CPU。如果被攻击者利用,可能会影响其微处理器产品、操作系统、系统管理模式和虚拟化软件,并从多种类型的计算设备中盗取敏感数据。
一般来说,CPU漏洞对于厂商、用户都有着“核弹级”影响,恶意程序一旦利用这些漏洞,将能越权访问内存,并能从受攻击电脑的内存中窃取各种信息,包括用户账号密码、应用程序文件、文件缓存等等。
360CERT安全专家表示,这次爆出的漏洞,没有今年年初轰动一时的“熔断”和“幽灵”级别的威力,不能任意获取内存。并且目前的攻击方法独立使用不能精准的获取目标内存,需要其他漏洞配合才能实现,这就给攻击者们带来不小的难度。此外,此次发现的漏洞目前还未被攻击者利用,进行真实场景的攻击。
但是即便如此,它仍然不可小觑——微软之前针对CPU漏洞提出的一些缓解措施,如KPTI,对于这一漏洞是无效的。
清华大学硬件安全和密码芯片实验室主任刘雷波教授表示CPU漏洞的安全问题需要业界进一步探索软硬件结合的安全解决方案。
安全专家表示,本次发现的漏洞,如果被黑客利用,其极限能力可能对浏览器内存数据,虚拟机,甚至内核隐私数据进行盗取。对普通网民来说,你的社交媒体账号,设置隐私权限的私密相册等,都可能存在被盗取的风险。不过,由于漏洞利用难度高,且无法独立直接用于精准窃取隐私,威胁不大,相关用户无需过分恐慌。
英特尔方面披露,此次涉及的产品包括被广为使用的Core以及Xeon处理器,这让个人电脑用户和数据中心都面临着巨大风险。
360CERT团队及时发现并向微软报告了这一漏洞,微软也在第一时间积极修复。同时,英特尔也致力于改进硬件,防范未来遭受此类攻击,英特尔微处理器微码已更新https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00115.html。Intel同时表示,此次安全更新不会显著影响性能。
360CERT团队建议,用户和系统管理员应与其系统制造商和系统软件供应商联系,并尽快应用任何可用的更新。
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号
随时掌握互联网精彩
随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 总书记要求时刻绷紧这根“弦” 4938002
- 2 专家鼓励下铺的年轻人跟老人换位 4907976
- 3 市委书记买官被骗500万 4805812
- 4 从消博会看消费变革新趋势 4799875
- 5 周鸿祎要卖迈巴赫买国产新能源车 4646087
- 6 81岁大爷花25元嫖娼被抓 4555797
- 7 沙特超级大项目,找到了中国 4482090
- 8 美对华发起301调查 商务部回应 4377484
- 9 楼房倒塌人像饺子往下掉?假的 4275706
- 10 两男子酒后骚扰女孩还打家长 4131089