最新文章
Top News
AMD Inception 漏洞缓解措施可将 CPU 性能最多降低 54%
AMD 最近披露了一个新发现的"Inception"CPU 漏洞,但没有透露任何关于应用缓解措施后性能影响的信息。不过,Phoronix 已经测试了新微码的效果,结果显示性能显著下降。 "Inception"的目的是通过创建一条指令,将 CPU 引导到一个重复函数中,从而误导处理器。这可能会导致潜在的数据泄露,对拥有"敏感数据"的企业来说是灾难性的。此外,该漏洞还扩展到所有 Zen CPU,这给 AMD平台上的消费者带来了令人担忧的局面。...
监控任意 CPU 功率能获取数据?英特尔、AMD 并不在意
奥地利和德国的科学家设计出了一种针对计算机CPU的功率监控侧信道攻击,能够从变化的功率中泄露设备敏感数据。 该项研究概况于8月1日刊载于德国IDW(Informationsdienst Wissenschaf)网站上,这种攻击手法被称为 Collide+Power(碰撞+功率),依靠分析处理器的功率使用情况来确定 CPU 缓存存储器的内容。如果攻击者能够持续访问受害者的硬件或共享硬件的云计算环境,...
英特尔 CPU 出现新侧信道攻击
攻击概述 (arxiv.org) 用于计时瞬态执行攻击的伪代码 (arxiv.org) 然而,研究人员指出,这种定时攻击不如缓存状态侧信道方法可靠,并且为了在最近的芯片中获得更好的结果,这种攻击必须重复数千次。
由实验数据评估分析得出:“在实验中,我们发现 EFLAGS 寄存器对 Jcc 指令执行时间的影响不像缓存状态那样持久。在瞬态执行后的大约 6-9 个周期内,...
CPU 又曝大 bug,涉及英特尔、AMD、ARM
2018年,英特尔、AMD、ARM曝出CPU安全事件,引起广泛关注,舆论一片哗然。虽然英特尔公司表示此次事件不仅仅是英特尔,还涉及AMD/ARM等厂商,且CPU 漏洞补丁基本不会给普通用户造成任何影响,但这次bug依旧被定为成行业大事件。 时隔几年,CPU又再次曝出一个大bug,有意思的是,英特尔、AMD、ARM一个也没拉下,全部都受到影响。 据外媒报道,安全人员发现了一种新方法,可以绕过现有的基于硬件的防御措施,在英特尔、AMD和ARM的计算机处理器中进行推测执行,可允许攻击者泄露敏感信息。...
英特尔和 Arm 的 CPU 再被发现存在重大安全漏洞 Spectre-HBB
BHI是一种影响大多数英特尔和Arm CPU的新型投机执行漏洞,它攻击分支全局历史而不是分支目标预测。不幸的是,这些公司以前对Spectre V2的缓解措施也无法保护BHI的威胁,尽管AMD处理器大多是免疫的。消息传出后,供应商应该很快就会发布安全补丁,而最新得Linux内核已经打了补丁。 VUSec安全研究小组和英特尔周二联合披露了一个新的Spectre类投机执行漏洞,称为分支历史注入(BHI)或Spectre-HBB。...
Intel 官方回应 CPU 漏洞:现有防护措施同样有效
就在 Intel 宣布过去五年处理器上的熔断、幽灵两大安全漏洞已经全部修复完毕之后,又有研究人员公布了一个新的漏洞,再掀波澜。据研究人员称,这个名为 BranchScope 的新漏洞已在 Intel Sandy Bridge 二代酷睿、Haswell 四代酷睿、Skylake 六代酷睿上确认存在, 现在,我们拿到了 Intel 就此漏洞的官方回应。 Intel 表示,已经与相关研究人员合作,并确认新漏洞的攻击方式和此前已知的侧信道分析(side-channel attack)漏洞相似。...
Chrome 扩展程序可防止基于 JavaScript 的 CPU 旁路攻击
据外媒报道,某学术团队创建了一个名为 Chrome Zero 的 Chrome 扩展程序,据称可阻止使用 JavaScript 代码从计算机中的 RAM 或 CPU 泄露数据的旁路攻击。目前该扩展程序仅在 GitHub 上提供,并且不能通过 Chrome 官方网上商店下载。 安全专家表示,目前有 11 种最先进的旁路攻击可以通过在浏览器中运行的 JavaScript 代码执行。
根据对这些先进的旁路攻击进行研究之后,研究人员确定了 JavaScript 旁路攻击试图利用的 5 种主要数据/特性:JS 可恢复的内存地址、精确的时间信息、浏览器的多线程支持、JS 代码线程共...
Chrome 难抵恶意下载攻击 数秒内耗尽资源失去响应
在 IT 行业,“ 技术支持诈骗 ” 是一种相当令人不齿的行为。通常情况下,当受害者访问到某个受影响的网站的时候,其浏览器就会被无法轻易消除的 “ 弹窗警告 ” 给遮挡。如果不打电话过去请求付费支援,那么动手能力不佳的用户可能就要干瞪眼了。此前, 据悉,新型攻击影响 64.0.3282.140 版本的 Google Chrome 浏览器。攻击者会让浏览器立即下载成千上万个文件,让浏览器在数秒内就资源耗竭失去响应。 Malwarebytes 分析师 Jerome Segura 表示,该漏洞利用了 Blob 和 msSaveblob 接口(允许将文件保存到计算机本地的功能)。...
英特尔年末推出安全 CPU 将永久避开两大漏洞
英特尔今天确认说,今年晚些时候会推出新版芯片,这些芯片直接修复 Spectre 和 Meltdown 漏洞。在财报分析师会议上,英特尔 CEO 科再奇(Brian Krzanich)公布了新处理器的消息。虽然财报数据比预期好,不过许多人都想知道,面对 Spectre 和 Meltdown 漏洞, 利用漏洞,黑客可以窃取数据,原本人们都认为这些数据存储在系统中比较安全的部分。 科再奇在会议开始时就谈到了安全问题,他说英特尔正在竭尽全力解决。科再奇说光是用软件修复还不够,英特尔已经知道还要做更多的工作。具体怎么做?科再奇也透露了更多的消息。...
尚有 26% 的企业用户未对漏洞 MeltDown 和 Spectre 进行修补工作
根据 Intel 的说法,SNB 平台到 Kaby Lake 的处理器已经有至少 90% 覆盖了 CPU 漏洞补丁,解决方法包括系统更新和主板 BIOS 升级(固件升级)来消除隐患。与此同时,AMD、IBM、甲骨文等也对自己的平台进行了类似的工作跟进。 虽然对于桌面平台和大型服务器等都有着一定程度的性能影响,但整体来看,对用户的实际使用感知不大。 即便如此,用户实际打补丁的积极程度并没有想象中那么高。...