今日(5月4日)上午消息,研究人員在英特爾處理器中發(fā)現并報告了8個(gè)新Spectre式硬件漏洞后,這家芯片巨頭面臨著(zhù)提供新安全補丁的困擾。

德國IT網(wǎng)站C'T首先報道了此事,并稱(chēng)其已經(jīng)從研究人員處獲得了全部的技術(shù)細節,并進(jìn)行了驗證。此外,英特爾公司也已經(jīng)證實(shí)了這些漏洞的存在,并將其列入“通用漏洞披露”(Common Vulnerabilties and Exposures)中。

新的硬件漏洞已經(jīng)被命名為“Spectre New Generation”,英特爾認為8個(gè)漏洞中有4個(gè)有嚴重威脅,其余的則屬于中等威脅。英特爾正在為它們開(kāi)發(fā)補丁。

C'T報道稱(chēng),其中一個(gè)新漏洞比原來(lái)的Spectre漏洞更嚴重,因為它可以用來(lái)繞過(guò)虛擬機隔離,從云主機系統中竊取密碼和數字密鑰等敏感數據。不管英特爾的軟件保護擴展(SGX)是否啟用,Spectre New Generation漏洞都可以被利用。

目前還不清楚ARM架構下的AMD處理器和芯片是否也容易受到Spectre New Generation的攻擊。

谷歌Project Zero團隊的安全研究人員被認為發(fā)現了其中一個(gè)Spectre New Generation漏洞。他們可能會(huì )在下周發(fā)布技術(shù)細節,屆時(shí)將有嚴格的90天保密期,以給供應商時(shí)間解決問(wèn)題。

對于英特爾及其技術(shù)合作伙伴(如微軟)來(lái)說(shuō),應對處理器上的Spectre和Meltdown漏洞始終很困難,因為在應用了微代碼補丁后,用戶(hù)報告系統不穩定,且性能變慢。這些漏洞源于硬件的設計缺陷,并允許攻擊者在內存中讀取數據。成千上萬(wàn)的新舊處理器都容易受到漏洞影響。

對此英特爾代表拒絕對德國雜志描述的漏洞發(fā)表評論。在官網(wǎng)聲明中,英特爾說(shuō)它正在與客戶(hù)、合作伙伴、其它芯片商、研究人員合作,一旦問(wèn)題得到確認,會(huì )尋找辦法緩和,整個(gè)過(guò)程牽涉到CVE編號保留塊。聲明稱(chēng):“我們相信協(xié)作披露有著(zhù)巨大的價(jià)值,在緩和的過(guò)程中,一旦發(fā)現任何潛在問(wèn)題,我們會(huì )及時(shí)披露的。”

硬件安全公司Eclypsium CEO、前英特爾安全研究員尤里·布里金(Yuriy Bulygin)說(shuō):“看看Metldown和Spectre造成的沖擊,新漏洞可能會(huì )觸動(dòng)新一輪升級循環(huán),時(shí)間漫長(cháng),過(guò)程痛苦,甚至可能牽涉到性能和穩定問(wèn)題。給硬件打補丁是一件很棘手的事,希望在Metldown和Spectre的指引下,過(guò)程能變得更簡(jiǎn)單一些。”