讯 北京时间2月25日早间消息，据美国科技媒体Ars Technica报道，谷歌研究人员对“幽灵”（Spectre）攻击的范围和影响进行调查后，发表了一篇论文，认为类似于这样的漏洞可能会继续困扰处理器，而基于软件的防护技术会产生较高的性能成本。

...

针对 CPU 底层设计缺陷的“幽灵”（Spectre）和“熔毁”（Meltdown）漏洞，让科技界陷入了相当尴尬的境地。为了应对这类特殊的安全威胁，业界协同使出了空前的努力，并推出了相应的补丁 —— 即便可能造成性能上的一定损失。遗憾的是，后续又不断有新的变种曝光。本文要介绍的，就是由 9 人研究团队发现的 7 种新式攻击手段。

...

Intel的处理器也要开始定期打补丁了？Intel在美东时间周二发布了为应对潜在安全风险的缓解措施，共计13项。包括针对Spectre v1（幽灵漏洞，绕过边界存储）变体的补丁以及本地用户可以从内存泄露中读出BIOS和管理员密码的BUG（CVE-2017-5704，影响4~7代酷睿平台）等。

...

据 Forcepoint 的安全研究员 John Bergbom 称，即将增加的 WebAssembly 标准可能会使浏览器级别的一些针对 Meltdown 和 Specter 的修复程序无用。 WebAssembly（WA 或 WASM）目前支持所有主流浏览器，如 Chrome，Edge，Firefox 和 Safari。

...

本周一，英特尔和微软公布了一个 Spectre and Meltdown 安全漏洞的新变体，存在该漏洞的芯片被广泛应用于计算机和移动设备上。

...

认为英特尔芯片的 Meltdown 漏洞是灾难？还有更严重的，那就是 Meltdow 的补丁。微软向 Windows 7 释出的 Meltdown 补丁，它允许任意进程任意读写内核内存。在 2018 年 1 月到 2 月之间打了补丁的 64 位 Windows 7 系统存在该严重漏洞，而没有打补丁或打了 3 月份补丁的 Windows 7 系统不受影响。

...

黑客可以利用 Meltdown 和 Spectre 攻击绕过内存隔离机制并访问目标敏感数据。使攻击者能够读取目标机器的全部物理内存，窃取凭据，个人信息等等。

...

Intel CEO 科再奇近日宣布，过去五年发布的 Intel 处理器已经全部修复了 Spectre 幽灵漏洞的第一个变种，而在下一代处理器中将重新设计硬件，完全免疫幽灵漏洞第二个变种和 Meltdown 熔断漏洞。作为全球  x86 处理器市场的龙头老大，Intel 面临如此严重的漏洞危机，到底是如何应对解决的？幕后又有哪些鲜为人知的故事呢？

...

英特尔 CEO Brian Krzanich 今天宣布，下一代至强 Scalable（Cascade Lake）处理器和第八代英特尔酷睿处理器将采用全新设计的组件，并解决了 “Meltdown”（熔断）和 “Spectre”（幽灵）漏洞。“Spectre”（幽灵）变种 1 仍然需要通过软件解决。英特尔的下一代处理器将通过硬件设计的变化解决 “Spectre”（幽灵）变种 2 和 “Meltdown”（熔断）变种 3。

...

微软已经修补了 Meltdown 和 Specter 硬件漏洞，虽然该公司表示将在未来几个月内推出更多缓解措施，但它也试图确保没有任何可利用的漏洞会针对其用户。因此，这家软件巨头正在推出一项奖励计划，为那些发现新 bug 并将其向微软公开的人提供巨额奖金。

...