新闻快讯
< >

英特尔CPU再曝8个“幽灵+”漏洞,影响亚马逊等云服务提供商

E安全5月5日讯 Google Project Zero 安全研究团队在英特尔 CPU 中又发现8个新的“幽灵式”硬件漏洞,被称为“新一代幽灵”——Spectre-NG(4个高危,4个中危漏洞),其中一个漏洞非常严重,允许攻击者在虚拟机中执行恶意代码,进而攻击读取宿主机的数据。

ARM 的部分芯片也受到影响,但不确定是否存在同样的问题,其原因研究人员正在调查。

英特尔CPU被曝8个类似于“幽灵”的新漏洞-E安全

众云服务提供商受影响

德国 IT 网站 C'T 5月3日报道指出,这个最严重的漏洞比 Spectre 漏洞还要严重,可被利用绕过云主机系统与虚拟机的隔离机制,窃取诸如密码和数字密钥之类的敏感数据。攻击者可以在虚拟机中运行漏洞利用代码,进而攻击宿主机
,比如云服务提供商的服务器。

此外,攻击者可以攻击在同一台服务器上运行的其它客户的虚拟机。黑客很容易盯上云系统上用于数据安全传输的密码和密钥。无论英特尔的软件防护扩展(SGX)功能是否启用,Spectre-NG 都能被利用。

从理论上讲,虽然对其它虚拟机或主机系统的攻击已经因而成为可能,但是在实际环境需要大量知识,因此极其困难。但值得注意的是,Specter-NG 漏洞很容易被利用进行跨系统边界实施攻击,将潜在威胁提升到了新的水平。亚马逊、Cloudflare 等云服务提供商尤其会受到影响。

不过,个人和企业 PC 面临的风险相对较小,因为通常还有其它薄弱环节更容易被利用。个人和企业仍不可掉以轻心。研究人员建议,发布补丁后尽快进行安装。

Google Project Zero 预计会在在下周发布技术细节。英特尔正在准备补丁。此外,英特尔已承诺会重新构建处理器,防止出现“幽灵”和“熔断”漏洞。

这些漏洞已被英特尔证实,并预留了CVE编号。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。