|
各位IT圈的小伙伴注意啦!苏黎世联邦理工学院(ETH Zurich)最近宣布重大消息,他们家的计算机安全团队又逮着Intel处理器的新毛病了!这次曝光的漏洞编号是CVE-2024-45332,能让黑客从你的电脑内存里"薅羊毛",每秒能偷走5000多个字节的数据。
这事儿得从CPU的"预测执行"功能说起。咱们的电脑芯片为了提速,会提前计算可能要用到的指令。但这种"抢答"机制却被研究人员发现漏洞——当处理器在两个用户权限之间切换时,有短短几纳秒的时间差没做好权限检查。黑客只要抓住这个空档疯狂操作,就能像蚂蚁搬家一样把整台电脑的内存数据搬空!
更吓人的是,这个漏洞所有Intel处理器都可能会中招!从你家用的笔记本到数据中心的服务器,只要用Intel芯片的设备全在受影响名单里。研究团队负责人Kaveh Razavi放话:"用这个漏洞,我们能读取同一CPU上其他用户的缓存和内存数据。"
其实这已经是Intel芯片第N次栽在预测执行功能上了。早在2017年的"幽灵"(Spectre)漏洞就让全球大大小小的用户集体抓狂,2022年ETH团队又发现Retbleed漏洞。这次的新毛病正是研究Retbleed防护措施时意外发现的——当时博士生Johannes Wikner注意到缓存信号异常,经过同事Sandro Rüegge半年多的追查,终于揪出这个藏在权限检查间隙的"时间刺客"。
Intel方面反应还算及时,去年9月接到报告后,今年初就通过微代码更新推出补丁。现在Windows系统的最新累积更新里已经包含修复程序。不过ETH团队提醒,这种预测执行架构的隐患就像打地鼠,修好一个可能又冒出新的,建议用户时刻保持系统更新到最新版本。
要说最头疼的还是云服务商,毕竟他们的服务器都是多人共享CPU资源。现在只能指望Intel尽快从芯片设计层面解决这个老大难问题了。各位用Intel电脑的小伙伴也别慌,记得打开系统自动更新,别给黑客可乘之机就行!
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
x
|