据外媒报道,5月14日,全球安全研究人员在协调版本中披露了一类新的CPU级漏洞。该漏洞被称为“微架构数据采样”(MDS),被攻击后会暴露来自CPU内部缓冲区中的数据,包括未存储在缓存中的数据。与Spectre和Meltdown不同的是,MDS攻击不依赖于内存,也不依赖于处理器缓存状态。
以下为英特尔声明:
关于微架构数据采样(MDS)安全问题,我们近期的很多产品已经在硬件层面得以解决了,包括很多第8代和第9代英特尔酷睿处理器、以及第2代英特尔至强可扩展处理器系列。对其它受影响的产品,用户可以通过微代码更新、并结合今天发布的相应操作系统和虚拟机管理程序的更新获取安全防御。我们在官方网站上也提供了更多信息,并一如既往的鼓励大家保持系统的及时更新,因为这是保持安全的最佳途径之一。我们在此要感谢那些与我们通力协作的研究人员、以及为此次协同披露做出贡献的行业合作伙伴们。
MDS漏洞有哪些风险?
Spectre和Meltdown一样,恶意攻击者可利用MDS漏洞从受感染的系统中提取加密密钥和密码。MDS漏洞可能需要通过使用JavaScript制作到网页上,通过受害者点击而被利用,它可以跨越安全防御从同一台机器上的其他程序中提取数据。
数据在进程切换时不会被清除,MDS可以从同一CPU 内核上执行的另一个进程中读取数据,同时不会在系统日志中留下利用漏洞的证据,这使安全系统很难检测到,因为这个属性使得MDS攻击具有更大威胁,
如何防范MDS攻击?
研究人员建议禁用同步多线程,也称为“英特尔超线程技术”,这样可以降低了基于MDS的攻击的影响,而无需更复杂的缓解措施。”
同时,英特尔已向供应商提供CPU微码更新,与Spectre和Meltdown一样,通常以BIOS或固件更新的形式。另外Windows、Linux、Mac、BSD等计算机操作系统用户,最好再第一时间更新,以充分缓解新漏洞的影响。