讯 北京时间2月25日早间消息，据美国科技媒体Ars Technica报道，谷歌研究人员对“幽灵”（Spectre）攻击的范围和影响进行调查后，发表了一篇论文，认为类似于这样的漏洞可能会继续困扰处理器，而基于软件的防护技术会产生较高的性能成本。 他们还认为，无论如何，软件都不足以防御这种攻击——一些“幽灵”漏洞似乎并没有有效的软件防御措施。因此，“幽灵”将成为未来的一个重要安全隐患，并没有直接的解决方案。 “崩溃”（Meltdown）和“幽灵”攻击的发现无疑是2018年的重大安全事件。去年1月首次发现后，全年又出现了新的变种。这两种攻击都依靠处理器的理论架构行为与真实的事实行为之间的差异来发动。...

针对 CPU 底层设计缺陷的“幽灵”（Spectre）和“熔毁”（Meltdown）漏洞，让科技界陷入了相当尴尬的境地。为了应对这类特殊的安全威胁，业界协同使出了空前的努力，并推出了相应的补丁 —— 即便可能造成性能上的一定损失。遗憾的是，后续又不断有新的变种曝光。本文要介绍的， 由概念演示代码可知，其中两种攻击利用了‘熔毁’漏洞：
Melrdown-BR 可利用 AMD 与 Intel 处理器中的 x86 指令路径，而 Meltdown-PK 仅能绕过英特尔处理器上的内存保护密钥。...

Intel的处理器也要开始定期打补丁了？Intel在美东时间周二发布了为应对潜在安全风险的缓解措施，共计13项。包括针对Spectre v1（幽灵漏洞，绕过边界存储）变体的补丁以及本地用户可以从内存泄露中读出BIOS和管理员密码的BUG（CVE-2017-5704，影响4~7代酷睿平台）等。 幽灵v1的变体是首次公开，允许恶意代码在Intel计算机上利用推测执行来潜在地改变函数，并将其他线程中返回的地址通报给被劫持的应用程序。...

据 Forcepoint 的安全研究员 John Bergbom 称，即将增加的 WebAssembly 标准可能会使浏览器级别的一些针对 Meltdown 和 Specter 的修复程序无用。 WebAssembly（WA 或 WASM）目前支持所有主流浏览器，如 Chrome，Edge， 该技术是一种二进制语言，浏览器将转换成机器码并直接在 CPU 上运行。浏览器制造商创建 WebAssembly 以提高 JavaScript 代码的交付速度和性能，他们还为开发人员创建了一种移植方法，可将来自其他高级语言（ 如C，C++ 和其他）的代码移植到 WASM ，然后在浏览器中运行它。...

本周一，英特尔和微软公布了一个 Spectre and Meltdown 安全漏洞的新变体，存在该漏洞的芯片被广泛应用于计算机和移动设备上。 英特尔称该新发现的漏洞为“变体4号”。该公司表示，尽管该最新变体与今年一月份发现的安全漏洞属于同种类型，但它使用了一种不同的获取敏感信息的方法。 Spectre and Meltdown安全漏洞还在继续影响着英特尔、ARM、和AMD等芯片厂商，这些公司生产的计算机和移动设备芯片中大多存在此漏洞。该漏洞使得黑客能读取计算机CPU上的敏感信息，已经在过去二十年内影响了数百万的芯片。尽管类似苹果、微软、英特尔这样的厂商都在发布修补该漏洞的补丁，...

认为英特尔芯片的 Meltdown 漏洞是灾难？还有更严重的，那就是 Meltdow 的补丁。微软向 Windows 7 释出的 Meltdown 补丁，它允许任意进程任意读写内核内存。在 2018 年 1 月到 2 月之间打了补丁的 64 位 Windows 7 系统存在该严重漏洞， 想知道你的 Windows 7 系统是否受到影响，可以从 Github 上下载 PCILeech 测试。 稿源：cnBeta、solidot，封面源自网络；

黑客可以利用 Meltdown 和 Spectre 攻击绕过内存隔离机制并访问目标敏感数据。使攻击者能够读取目标机器的全部物理内存，窃取凭据，个人信息等等。 Spectre 攻击允许用户模式应用程序从运行在同一系统上的其他进程中提取信息。它也可以用来通过代码从自己的进程中提取信息，例如，恶意 JavaScript 可以用来从浏览器的内存中提取其他网站的登录 Cookie。...

Intel CEO 科再奇近日宣布，过去五年发布的 Intel 处理器已经全部修复了 Spectre 幽灵漏洞的第一个变种，而在下一代处理器中将重新设计硬件，完全免疫幽灵漏洞第二个变种和 Meltdown 熔断漏洞。作为全球  x86 处理器市场的龙头老大，Intel 面临如此严重的漏洞危机， 《财富》杂志近日特意撰文，从另外一个视角解读了这次漏洞事件，标题 “ How Intel Is Moving From Software Fixes to Hardware Redesigns to Combat Spectre and Meltdown ” ( Intel 在应对“ 幽灵 ”和“ ...

英特尔 CEO Brian Krzanich 今天宣布，下一代至强 Scalable（Cascade Lake）处理器和第八代英特尔酷睿处理器将采用全新设计的组件，并解决了 “Meltdown”（熔断）和 “Spectre”（幽灵）漏洞。“Spectre”（幽灵）变种 1 仍然需要通过软件解决。 下一代至强 Scalable（Cascade Lake）处理器和第八代英特尔酷睿处理器将于2018年下半年面向厂商出货。除了硬件变化，英特尔还表示，将会对过去5年终所有的产品推出软件微代码更新，并建议所有顾客将系统升级到最新版本。...

微软已经修补了 Meltdown 和 Specter 硬件漏洞，虽然该公司表示将在未来几个月内推出更多缓解措施，但它也试图确保没有任何可利用的漏洞会针对其用户。因此，这家软件巨头正在推出一项奖励计划，为那些发现新 bug 并将其向微软公开的人提供巨额奖金。 例如，第 1  层部分包含新类别的推测性执行攻击，并且可以带来不低于 25 万美元的财务奖励，而那些符合第 2 层和第 3 层的资格奖励则涉及绕过 Azure 测性执行缓解和绕过  Windows 推测性执行缓解的攻击方式，分别可以赚取高达 20 万美元奖金。...