四虎永久在线精品8848A-97人人超碰国产精品最新o-国产不卡一区在线视频-亚洲精品永久在线观看

啟達軟件-基于互聯(lián)網(wǎng),致力于企業(yè)信息化、ERP、CRM、互聯(lián)網(wǎng)+的軟件開發(fā)
啟達軟件
啟達軟件電話
行業(yè)資訊你現(xiàn)的位置:首頁>新聞中心>行業(yè)資訊
英特爾芯片漏洞曝光背后的故事:研究員一度不敢相信
信息來源:新浪科技       發(fā)布時間:2018-01-15
文章關鍵字:Intel、漏洞
        路透社今日發(fā)表文章,詳細揭秘英特爾近期的被曝出的芯片漏洞是怎么被發(fā)現(xiàn)的:一名31歲的信息安全研究員成功攻入自己計算機的CPU內(nèi)部,并由此發(fā)現(xiàn)了英特爾的芯片漏洞。一天晚上,信息安全研究員丹尼爾·格魯斯(Daniel    Gruss)正在擺弄自己的電腦。他發(fā)現(xiàn)了過去20年中,英特爾大部分芯片都存在的一個嚴重漏洞。31歲的格魯斯是奧地利格拉茨技術大學的博士后研究員。他剛剛攻入了自己計算機CPU的內(nèi)部,竊取了其中的保密信息。 



        直到成功之前,格魯斯和他的同事莫里茨·利普(Moritz    Lipp)和邁克爾·施瓦茨(Michael    Schwarz)都認為,對處理器內(nèi)核存儲的攻擊只停留在理論上。內(nèi)核存儲不對用戶開放。
        格魯斯在接受路透社郵件采訪時表示:“當我看到來自火狐瀏覽器的私人網(wǎng)址被我編寫的工具導出時,我非常震驚?!彼卩]件中介紹了,如何解鎖本應該得到充分保護的個人數(shù)據(jù)。
        12月初的一個周末,格魯斯、利普和施瓦茨在家里工作。他們互相發(fā)短信,以驗證各自的結果。
        格魯斯表示:“我們坐了好幾個小時,不敢相信這個結果,直到我們排除了結果可能錯誤的可能性?!痹陉P掉計算機之后,他也一直在思考,幾乎難以入睡。
        格魯斯和他的同事們剛剛證實了他認為的“有史以來最嚴重的CPU漏洞之一”。這個漏洞目前被命名為Meltdown,于周三公布,影響了英特爾自1995年以來制造的大部分處理器。
        此外,另一個名為Spectre的漏洞也被發(fā)現(xiàn)存在于大部分搭載英特爾、AMD和ARM處理器的計算機和移動設備中,可能導致核心存儲泄露。
        利用這兩個漏洞,黑客可以從臺式機、筆記本、云計算服務器和智能手機中獲取密碼和照片。目前尚不清楚,黑客是否有能力執(zhí)行這樣的攻擊,因為利用Meltdown和Spectre的攻擊都不會在日志文件中留下記錄。
        英特爾表示,該公司已經(jīng)開始提供軟件和固件升級,應對安全問題。ARM也表示,正在與AMD和英特爾合作,修復安全漏洞。
        尋找解決辦法
        科技網(wǎng)站The    Register最先報道了這個發(fā)現(xiàn),這導致與漏洞相關的研究比相關廠商的計劃提前公布了一周,而這些廠商尚未拿出完整的修復方案。
        格拉茨技術大學的團隊正在開發(fā)一種工具,防范黑客從內(nèi)核存儲中竊取機密信息。在去年6月發(fā)表的一篇論文中,他們將其稱作“KAISER”,即“通過內(nèi)核地址隔離有效移除旁路”的縮寫。
        顧名思義,KAISER的目標是保護內(nèi)核存儲,避免所謂的旁路攻擊。在當代處理器中,旁路的設計是為了提升速度。
        負責任地披露
        在12月嘗試對自己的計算機進行黑客攻擊之后,格拉茨技術大學團隊的早期工作開始變得清晰起來。事實證明,KAISER工具能有效抵御通過Meltdown的攻擊。
        該團隊迅速聯(lián)系了英特爾,并了解到其他研究人員也獲得了類似發(fā)現(xiàn)。他們基于“負責任地披露”程序來推進,告知受影響公司自己的發(fā)現(xiàn),給企業(yè)時間去開發(fā)補丁。
        格魯斯表示,其中關鍵的人員包括獨立研究員保羅·科切(Paul    Kocher)及其在Cyberus    Technology的團隊。而谷歌Project    Zero的簡恩·霍恩(Jane    Horn)也獨立得出了類似結論。
        格魯斯表示:“12月中旬,我們將工作匯總在一起,制作了兩份關于Meltdown和Spectre的發(fā)布報告?!?br>        格魯斯此前并不清楚霍恩所做的工作。他表示:“霍恩完全獨力進行了開發(fā),非常厲害。我們開發(fā)出了類似的攻擊方法,但我們有10名研究員?!?br>        大團隊表示,基于KAISER為Meltdown漏洞提供的補丁已準備好發(fā)布給Windows、Mac和Linux操作系統(tǒng)。
        目前,Spectre漏洞還沒有任何補丁。Spectre可以欺騙程序泄露信息,但研究人員認為,黑客使用這個漏洞也非常困難。
        關于這兩個漏洞哪個帶來的挑戰(zhàn)更大,格魯斯表示:“眼前的問題是Meltdown。隨后是Spectre。Spectre更難利用,但也難以解決。因此從長期來看,我認為Spectre更麻煩。”		 
開發(fā)框架.pdf  生產(chǎn)行業(yè)案例.pdf

版權所有:合肥啟達信息技術有限公司 備案號:皖ICP備12015909號-6 Copyright 2001-2012 All rights reserved

皖公網(wǎng)安備 34010402701105號