安全研究人员于周二披露了该漏洞,该漏洞影响了最早可追溯至2011年的英特尔芯片。通过利用这些漏洞,一部分恶意软件可以从PC和基于云的服务器中提取数据,例如密码,应用程序内容或加密密钥。内置英特尔处理器。
通常,软件程序只能在计算机上查看自己的数据。但是,今天公开的漏洞可以通过篡改英特尔芯片来泄漏由CPU内部缓冲区(用作临时存储)保存的其他程序数据,从而有效地侵蚀这些安全边界。
所谓的“微体系结构数据采样”漏洞类似于去年的Meltdown和Spectre漏洞,这些漏洞处理的是英特尔芯片内部的架构。问题的核心是英特尔芯片如何在系统运行时尝试预测和预取计算指令。
从好的方面来说,该方法将有助于提高计算机的性能。但是,安全研究人员意识到,您还可以诱使Intel芯片从计算机中预取敏感数据并将其泄漏。尽管英特尔一直在推出补丁来缓解Meltdown和Spectre漏洞,但研究人员仍在继续发现这些漏洞的新变体,因为许多现代芯片都依靠数据预取来改善芯片的性能。
例如,今天公开的一个名为ZombieLoad的新缺陷之一涉及英特尔CPU内核将准备并行运行多个任务的方式,即使可能不需要某些任务也是如此。安全研究人员发现,您可以通过Intel CPU的缓冲区提取这些任务,并了解其中的内容。数据是否具有任何价值是另一回事,但您可能会提取信息,例如在PC上各种应用程序上运行的浏览器历史记录数据,密码和其他系统级机密。