俄亥俄州立大学的六名科学家发现了一种新的攻击手段，名为 SgxSpectre。研究人员表示，这种攻击可以从 Intel SGX 中获取数据。 英特尔 Software Guard eXtensions（SGX）是英特尔处理器的功能，可让应用程序创建所谓的  enclaves  。 这个 enclaves 是 CPU 处理内存的硬件隔离部分，应用程序可以运行处理极其敏感细节的操作，例如加密密钥，密码，用户数据等。 在今年年初发现的 Meltdown 和 Spectre 攻击允许攻击者突破操作系统和应用程序之间的隔离以及应用程序间隔离，黑客可以从操作系统内核或其他应用程序中检索信息。但 Meltdown 和 Spectre 都无法从 SGX enclaves 获取数据。这是 SgxSpectre 的独特之处。 稿源：FreeBuf，封面源自网络；

今年早些时候全面曝光的 Spectre 和 Meltdown 处理器安全漏洞，让整个计算机行业面临着严重的信任危机，尤其是芯片巨头英特尔。自 1995 年以来的所有现代微处理器，几乎都受到了这两个漏洞的影响，万幸的是当前暂未出现利用它们的严重威胁。不过本文要着重警示的，却是新款英特尔微处理器上所部署的“软件保护扩展”功能（简称 SGX）。 SGX 旨在让软件程序在专属的安全区运行，安全区会根据需求来创建、并拥有专属的内存、与操作系统上的其它软件隔离开来（比如虚拟机监控程序与操作系统本身）。 然而俄亥俄州立大学的研究人员们，却发现了一个危及 SGX 安全区的 Spectre 衍生漏洞，且于近日公布了它的详情（PDF）。 ● 文章指出，这种新威胁被称作 SgxPectre 。 ● 它能够让 SFX 创建的安全区，像砸碎的坚果那样敞开。 ● 研究表明，尽管没有被完全攻陷，该漏洞还是很容易被攻击的。 我们当前所认为的很多速度和效率，其实都是借助精心调校的投机性执行达成的： 英特尔的微处理器，会尝试预测软件想要执行的下一步，然而新研究曝光了 SgxPectre 的脆弱性。 滥用这种分值预测能力，会将信息中 SGX 创建的安全区域中梳理出来。 在向公众曝光之前，俄亥俄州立大学的研究人员们，早已经向英特尔汇报过此事。 英特尔在一份声明中回应道：“我们已经获悉俄亥俄州立大学的研究论文，此前已提供过关于英特尔 SGX 可能受到的旁路分析漏洞影响的信息”。 预计该公司会在 3 月 16 号的时候，向应用程序提供商推送针对现有的 Spectre 和 Meltdown 漏洞的缓解方案、以及一个升级后的 SGX 软件开发工具包，从而有效应对研究中描述的攻击方法。 稿源：cnBeta，封面源自网络；

外媒 2 月 23 日消息，英特尔以及其他六家公司（亚马逊、AMD、苹果、ARM、谷歌、微软）向美国国会发送的信件揭示了他们为何不向世界其他国家披露其芯片设计缺陷。根据之前的报道，这些芯片广泛受到 Meltdown （熔毁）和 Spectre （幽灵）漏洞的影响。 美国众议院能源和商业委员会的共和党成员曾在一月份致函这七家公司，以寻求他们不披露这些缺陷的原因以及他们是否认为自己的行为是安全和负责任的。此外，由于这些芯片设计缺陷影响非常严重，以至于美国国会议员坚持要求这七家公司给出合理的解释。 目前来看，英特尔给出的信件似乎是最具信息量的，因为它揭示了在漏洞披露之前，英特尔只向可以帮助其提高技术用户安全性的公司透露有关 Spectre 和 Meltdown 的信息，发现漏洞的 Project Zero 方面也将其 90 天的漏洞公开截止日期延长至 2018 年 1 月以协助漏洞修复。一旦漏洞消息被传出，英特尔就会加快部署缓解措施的计划，并及时向各国政府进行通报 。 英特尔称其是在考虑了“ CERT 协调漏洞披露指南 ”、“ 常见漏洞和暴露（CVE）编号权限规则 ”、“ 事件响应安全团队常见漏洞评分系统论坛 ” 之后制定了这一应急方案。然而因 The Register 等博客的提前曝光使英特尔原定计划被打乱。 此外，该信还显示：“ 今年晚些时候，英特尔将在其产品中引入新的硬件设计更改，以解决诸如 Spectre 和 Meltdown 等漏洞。 不过其他公司的信件大多指出 Spectre 和 Meltdown 是英特尔的问题。 例如，微软公司表示虽然知道漏洞的修复程序会破坏一些反病毒软件，并也提前警告这些产品的供应商，但是不能告诉他们为什么会因为担心 Meltdown 和 Specter 的消息泄漏而进行修改。 而 ARM 公司则称在 Meltdown 和 Specter之前， ARM 并没有参与多方协调的漏洞披露。 亚马逊方面表示他们将集中精力在为 Linux 操作系统和 Xen 管理程序开发对策。 消息来源：TheRegister，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

英特尔已经开发稳定的新微代码，它可以修复 Skylake、 Kaby Lake、Coffee Lake 处理器存在的 “ 幽灵 ”（ Spectre ）漏洞，而且所有变种漏洞都能修复。微代码更新可以化解 “ 幽灵 2 号变种 ”（Spectre Variant 2）带来的威胁。所谓“ 幽灵 2 号变种 ” 威胁，就是攻击者能够命令处理器分支预测器对执行什么代码给出一个糟糕的预测。然后处理器会用糟糕的预测来推断数据的数值，这些数值存储在内存中，这样一来攻击者就能窃取信息。 通过对微代码更新，可以让操作系统对分支预测器进行更好的控制，防止一个进程受到另一个进程的影响。 去年英特尔曾经发布第一个微代码更新，甚至还对安装 Broadwell、Haswell、Skylake、Kaby Lake 和 Coffee Lake 的机器进行固件升级，不过用户随后发现，更新会导致系统崩溃重启。最开始时，确认受到影响的只有 Broadwell 和 Haswell 系统，后来发现 Skylake、Kaby Lake 和 Coffee Lake 也会导致重启。 月初时，英特尔还提供了针对 Skylake 处理器的新微代码，它适用于 Skylake 变种处理器，包括 Skylake X、Skylake D、Skylake SP，以及 Skylake 之后的主流芯片，这些芯片以 7 代或者 8 代 Core 的身份推出，代号为 Kaby Lake 或者 Coffee Lake。不过较老的 Broadwell 和  Haswell 处理器无法修复，英特尔说面向 Sandy Bridge、Ivy Bridge、Broadwell 和 Broadwell 处理器的微代码正在测试。 稿源：cnBeta、，稿件以及封面源自网络；

英特尔今天确认说，今年晚些时候会推出新版芯片，这些芯片直接修复 Spectre 和 Meltdown 漏洞。在财报分析师会议上，英特尔 CEO 科再奇（Brian Krzanich）公布了新处理器的消息。虽然财报数据比预期好，不过许多人都想知道，面对 Spectre 和 Meltdown 漏洞，英特尔准备怎么办。三个漏洞分别被三个不同的研究团队发现，其中包括谷歌 Project Zero 团队，漏洞对计算机和服务器的安全构成严重威胁。 利用漏洞，黑客可以窃取数据，原本人们都认为这些数据存储在系统中比较安全的部分。 科再奇在会议开始时就谈到了安全问题，他说英特尔正在竭尽全力解决。科再奇说光是用软件修复还不够，英特尔已经知道还要做更多的工作。具体怎么做？科再奇也透露了更多的消息。 英特尔会对处理器架构进行调整，永久避开 Meltdown 和 Spectre 漏洞。不过达到目标需要时间来准备，英特尔说新版处理器要到 2018 年年末才能上市。漏洞影响许多型号的处理器，哪些产品优先解决？英特尔没有明说。 对于英特尔而言，此举从长远来看是有利的。一季度 Spectre、Meltdown 漏洞公之于众，英特尔受到打击，对于许多人来说，想修复只能购买新处理器。如果英特尔能够阻止客户投靠对手，交易时将优惠压到最低，恢复的时间就会比预期更短。 就目前来说，补救还是要靠软件。现在英特尔还没有拿出完美的补丁，之前曾发布补丁，但是用户安装之后发现机器重启频率增加，于是英特尔只得建议用户推迟安装。 稿源：cnBeta，封面源自网络；

本周三英特尔召开发布会，正式透露在修复安全漏洞的补丁更新后计算机的性能衰减详情。英特尔强调修复补丁对于计算机性能的影响取决于工作负载和配置，此次性能影响将对运行着高负载老旧芯片型号会受巨大影响，而运行 Windows 10 系统的最新芯片的性能影响会微乎其微。 英特尔表示，它在服务器平台上进行了一系列测试，发现通常由企业和云客户执行的常见工作负载的影响可能会达到2％。数据中心集团总经理纳辛·谢诺（ Navin Shenoy ）解释说，根据模拟经纪公司客户经纪人与证券交易所互动的模拟线上交易处理（ OLTP ）基准，这一性能衰减可能达到 4％。而对处理大数据量的服务器的性能影响情况尤其严重，英特尔称这些配置的性能影响可高达 25%， 英特尔官员还补充说，该公司正在与合作伙伴合作，降低补丁对性能的影响，Google 的解决方案在这方面可能派上用场。 稿源：cnBeta，封面源自网络；

据国外媒体报道，甲骨文公司周二表示发布了一个关键补丁，为其某些产品修复英特尔公司芯片漏洞。 该公司在其网站上说，这个关键补丁包含了多个 Oracle 产品中的 237 个新的安全修复程序。 另外，技术网站 The Register 报道，引用 Oracle 客户专用门户网站上的一篇文章说，SPARCv9 上某些版本的 Oracle Solaris 受到其中一个名为 Specter 的芯片缺陷的影响，该公司正在为其开发一个安全补丁。目前甲骨文拒绝就此报道发表评论。 稿源：、TechWeb，稿件以及封面源自网络；

苹果刚刚通过调低官换电池的价格，企图挽回 iPhone 降速门的负面影响，但随着 Spectre 和 Meltdown 两个超级漏洞席卷全球，iPhone/iPad/Mac 等受到波及。最新的 iOS 11.2.2 中添加了相关修复，不过就像 Intel 处理器打上补丁之后性能下降一样，iPhone 的 A 系列芯片也没有好到哪儿去。 1 月 13 日，GSMarena 对 iPhone 6S/7/8 升级修复更新前后的性能进行了对比，结果如下。 iPhone 8 Plus 升级前后 从 iOS 11.1.2 升级到 11.2.2 后，A11 芯片的跑分下降了 0.5% 左右。 iPhone 7 升级前后 A11 在安兔兔中的跑分居然在升级后上升了 3% iPhone 6s 升级前后 A9 芯片在安兔兔中性能下降了 12% 这个问题之所以引人注目是因为，此前荷兰网站 Melvin Mughal 测得，iPhone 6 的 A8 芯片在升级 iOS 11.2.2 后，性能跑分居然暴跌 41% 之多。 仅从这份测试来看，A10/A11 在修复漏洞后的性能损失可忽略，不过较老的 A9/A8 似乎是不容乐观。 相关阅读： 修复 CPU 漏洞后 i7 版 Surface Book 重伤：SSD 性能腰斩 稿源：cnBeta、快科技，封面源自网络；

上周震荡科技圈的消息莫过于英特尔公布 CPU 芯片底层存在严重漏洞，美国证券交易委员会（SEC）正在调查英特尔 CEO Brian Krzanich 提前抛售大量股票的行为。事发后 Intel 的股价一度疯狂下跌，Google 曾在上一年通知了 Intel 他们的处理器存在问题，Intel CEO Brian Krzanich 则在 2017 年 11 月底就抛售了手上持有的大量股票（现在剩下 25 万股，雇佣协议的最低要求），这些股票价值 2400 万美元。 Intel 目前面临着因 CPU 底层漏洞事件的多起诉讼。据 Gizmodo 报告说，美国加利福尼亚州，俄勒冈州和印第安纳州三个州的的法院已经接到了对 Intel 的起诉。这三个都是大规模的集体诉讼，理由包括英特尔延迟披露这些 CPU 底层漏洞/消费者受影响几个月后才知道这些漏洞，美国证监会也开启了对英特尔 CEO 提前抛售大量股票的调查。Brian Krzanich 目前真处于极大的舆论压力中。 “ Meltdown ” 和 “ Spectre ” 会对 Intel 的处理器，甚至是 AMD、ARM 造成重大威胁，早在 2005 年，研究人员就开始讨论芯片的安全弱点。随后，不断有研究人员发现英特尔芯片的内核存在安全隐患，谷歌 22 岁神童霍恩已经在去年 4 月份独立发现了 “ 融化 ” 和 “ 幽灵 ” 漏洞。在得知芯片漏洞后，英特尔与微软公司、谷歌公司等大型科技公司合作，花费了几个月时间秘密开发更新修复漏洞，最终才公布。 稿源：cnBeta，封面源自网络；

近来有关 Intel CPU Spectre/Meltdown 漏洞一事闹得沸沸扬扬、人心惶惶，AMD、ARM 也被波及。事发之后，Intel 一直在积极采取相关措施，并随时公布进展。今天，Intel 又发布了一份最新公告，看完之后大家基本可以放心了。 Intel 首先明确表示，迄今为止尚未发现相关漏洞被利用，也没有任何用户隐私数据泄露。  Intel 从去年 12 月初开始漏洞未公开之时，就已经开始与行业、OEM 伙伴合作，为过去五年中受影响的 CPU 处理器提供软件和固件更新，预计会在一周内覆盖超过 90％ 的产品，本月底完成剩余所有产品的升级。 关于修复漏洞后性能下滑的问题，Intel 称根据最新内部测试，对于典型用户的影响不会很明显，也就是说，日常家庭、商业用户在更新补丁后，上网、收发邮件、录入文档、浏览照片、看视频等普通操作不会变慢。 SYSMark 2014 SE 测试表明，八代酷睿处理器搭配 SSD 固态硬盘，性能会损失不超过 6％。 至于对数据中心的影响，Intel 还在进行评估，尚未得出完整结论，不过苹果、微软、谷歌、亚马逊、红帽等行业巨头已经纷纷声援 Intel，称更新补丁后性能下降微乎其微，或者没有下降。 Intel 指出，性能变化取决于特定工作负载、平台配置、测试方法，不能一概而论。 稿源：cnBeta、快科技，封面源自网络；