响应式网站 谷歌 移动网站,深圳营销型网站建设服务哪家好,wordpress个人资料,桐城网站开发对于 CPU 安全漏洞来说#xff0c;本周是重要的一周。昨天#xff0c;不同的安全研究人员发布了两个不同漏洞的详细信息#xff0c;一个影响多代英特尔处理器#xff0c;另一个影响最新的 AMD CPU。“ Downfall ”和“ Inception ”#xff08;分别#xff09;是不同的错…
对于 CPU 安全漏洞来说本周是重要的一周。昨天不同的安全研究人员发布了两个不同漏洞的详细信息一个影响多代英特尔处理器另一个影响最新的 AMD CPU。“ Downfall ”和“ Inception ”分别是不同的错误但都涉及现代处理器对推测执行的广泛使用就像最初的Meltdown 和 Spectre bug两者都被描述为“中等”严重性并且都可以通过操作系统级微代码更新或包含修复程序的固件更新进行修补。
AMD 和英特尔都已经发布了操作系统级微代码软件更新来解决这两个问题。两家公司还表示他们不知道这两个漏洞有任何活跃的野外利用情况。消费者、工作站和服务器 CPU 都会受到影响因此修补对于服务器管理员来说尤为重要。
在 Intel 和 AMD 提供固件更新后您的 PC、服务器或主板制造商将负责发布带有修复程序的固件更新。
英特尔的没落
我们将首先讨论崩溃错误因为它影响更广泛的处理器。
Downfall 错误也称为CVE-2022-40982 它利用了“Gather”指令中的一个缺陷该缺陷影响了 Intel CPU 从系统内存中多个位置获取信息的功能。谷歌安全研究员 Daniel Moghimi表示该漏洞会导致 CPU“无意中向软件泄露内部硬件寄存器”从而“允许不受信任的软件访问其他程序存储的数据”。Moghimi 的概念验证表明 Downfall 被用来窃取给定服务器上其他用户的加密密钥以及其他类型的数据。
对于使用英特尔软件防护扩展 (SGX) 内存加密的系统必须通过固件加载英特尔的微码修复对于没有 SGX 的系统可以通过固件或操作系统级别加载新的微代码修复。
Moghimi 发布了白皮书 ( PDF ) 以及Downfall 网站及其 DALL-E 2 生成的徽标。他说他大约一年前向英特尔披露了这个错误并将 Downfall 描述为之前的推测执行错误如Meltdown和 Fallout的“继承者”。
根据英特尔的支持页面此处为Downfall bug此处列出了英特尔 CPU 系列中多个 CVE 的状态Downfall 影响所有基于 Skylake、Kaby Lake、Whiskey Lake、Ice Lake、Comet Lake、Coffee 的处理器Lake、Rocket Lake 和 Tiger Lake 架构以及其他一些架构。
对于那些无法保持理智的人来说这意味着适用于消费类 PC 的英特尔第 6 代至第 11 代酷睿系列中的大多数 CPU 均于 2015 年开始销售并且在今天的一些新系统中仍然可用。崩溃还会影响至强服务器和工作站处理器以及基于这些相同架构的任何奔腾和赛扬处理器。
不受影响的是英特尔较新的第 12 代和第 13 代 CPU 架构又名 Alder Lake 和 Raptor Lake、Atom、Pentium 和 Celeron 系列中的低端 CPUApollo Lake、Jasper Lake、Gemini Lake 等或Haswell 和 Broadwell 等较旧的 CPU 架构目前仅在服务器中得到官方支持但也用于消费类 PC 的第四代和第五代 Core CPU。
英特尔表示针对崩溃的缓解措施可能会将依赖 Gather 指令的工作负载的性能降低多达 50%。有一个“选择退出机制”可以禁用修复程序以恢复全速但 Moghimi 不建议使用它。
AMD 的成立
如果 Downfall 是 Meltdown 的衍生版本那么 Inception也称为CVE-2023-20569就是 Spectre bug 衍生的侧通道漏洞。它实际上是一种攻击的组合一种是让 CPU 认为它执行了错误预测另一种是使用“幻影推测”触发器来“操纵未来的错误预测”。更多详细信息请参阅白皮书 ( PDF )。
根据苏黎世联邦理工学院 COMSEC 小组的安全研究人员的说法最终结果是在受影响的 Ryzen、Threadripper 和 EPYC CPU 上“泄露任意数据”的漏洞。该组织发布了一个概念验证视频其中他们导致使用 AMD 最新 Zen 4 架构的 CPU 泄露系统的 root 密码。
为了在一定程度上降低风险AMD“认为此漏洞只能在本地利用例如通过下载的恶意软件。”
COMSEC 表示该错误会影响“所有 AMD Zen CPU”但 AMD 本身表示只有使用基于 Zen 3 或 Zen 4 的 CPU 内核的处理器才需要进行 Inception 修复。这包括 Ryzen 5000 和 7000 系列台式机 CPU、部分 Ryzen 5000 和 7000 系列笔记本电脑 CPU、所有 Ryzen 6000 系列笔记本电脑 GPU、Threadripper Pro 5000WX 工作站 CPU 以及第三代和第四代 EPYC 服务器 CPU。这些芯片的一些 AGESA 固件更新现已推出其他固件更新应该从现在到 2023 年 12 月之间的某个时间推出同时操作系统级微代码更新也将推出。
如果您确实拥有较旧的 AMD 处理器那么基于 Zen 2 的 Ryzen 芯片在上个月确实以“ Zenbleed ”的形式出现了自己的推测执行漏洞。
在特定情况下该漏洞还可用于获取加密密钥和其他用户信息。与 Inception 一样操作系统级微代码修复已经可用但 AMD 可能同样需要几个月的时间才能发布包含修复程序的新固件版本。
