几个月以来,英特尔一直在尝试修复其芯片中基于硬件的漏洞,这些漏洞可能会从PC或服务器泄漏机密数据。但是,据安全研究人员称,英特尔在解决这些问题上仍然缺乏进展。
周二,两个独立的学者小组表示,他们能够利用第9代Intel Cascade Lake处理器上的芯片漏洞,该芯片漏洞旨在阻止此类攻击。
阿姆斯特丹Vrije大学VUSec研究小组的研究人员说:“不幸的是,除非有足够的公众/行业压力,否则英特尔似乎没有动力改变路线,给公众一种虚假的安全感。”
该问题涉及两个基于硬件的缺陷,称为ZombieLoad和RIDL(Rogue机上数据加载)。早在5月,研究人员就披露了这些漏洞,并警告说,可以利用这些漏洞从人们的计算机中提取敏感信息,例如浏览器历史记录数据和密码。这可以通过在PC的Web浏览器上运行的恶意软件或什至一些Javascript代码来完成。
英特尔当时表示,该公司的第八代和第九代芯片是为抵御威胁而制造的。但是在星期二,发现ZombieLoad漏洞的研究人员小组说,他们已经开发出可以绕过英特尔保护措施的同一攻击的新变种。
同一天,研究人员声称,即使他们在2018年9月告诉芯片制造商该漏洞,他们发现的RIDL攻击的现有版本也从未被英特尔完全修补。“ 2019年10月25日,我们测试了英特尔最新的微代码更新,但仍然看到泄漏。”研究人员在帖子中写道。
这些缺陷继续困扰着英特尔处理器,因为它们处理的是公司芯片内部的架构。为了提高速度,英特尔处理器被设计为在系统运行时预测和预取计算指令。但这可能要付出代价。据安全研究人员称,您还可以欺骗相同的过程以在泄漏之前从计算机中预提取机密数据。
2018年1月,安全研究人员将第一批漏洞称为Meltdown和Spectre,并警告说它们本质上可以打破保护一个软件进程无法访问另一个软件的障碍。通过从CPU内部缓冲区泄漏数据,ZombieLoad和RIDL缺陷可以达到相同的效果。
作为回应,英特尔周二为其修补漏洞的尝试辩护。一方面,该公司承认目前的缓解措施并不完美;一些数据仍然会泄漏。尽管如此,现有的防护仍然可以“减少潜在的攻击面”,并且客户可以期望将来会发布更多补丁。
该公司在博客中表示:“我们不断改进可用于解决此类问题的技术,并感谢与英特尔合作的学术研究人员。”
好消息是,安全社区尚未遇到任何利用这些漏洞的黑客。实际上,对于网络罪犯而言,使用常规恶意软件来接管您的PC要容易得多,而不是对计算机CPU进行攻击。
但是不要指望英特尔将在短期内完全解决这些缺陷。VUSec研究人员说:“如果CPU变得如此复杂,以致芯片供应商无法控制其安全性,则硬件漏洞将成为高级攻击者的新猎场。”“而且我们可能不知道还有多少零日(以前未知)硬件漏洞尚待解决。”