英特爾新Spoiler漏洞:確認無法通過現有補丁解決

      3月7日消息，美國馬薩諸塞州伍斯特理工學院和德國呂貝克大學的研究人員近期發表論文，公布了所有當代英特爾酷睿處理器存在的一個新的預測執行安全漏洞——“SPOILER”。研究小組於2018年12月1日向英特爾報告了這個漏洞。

（圖片來自百度）

       研究人員稱，攻擊者可以通過網頁瀏覽器中的惡意JavaScript腳本或其他惡意軟件利用這個漏洞，從內存中提取密碼、密鑰和其他數據。SPOILER中涉及的“預測執行”CPU性能提升技術令人想到2018年1月最先公布的Spectre漏洞。然而研究人員表示，SPOILER的數據泄露“源於完全不同的硬件單元，即內存順序緩衝”，因此目前的Spectre補丁無法解決該漏洞。

　　“SPOILER不同於Spectre攻擊，根本原因是英特爾內存子係統中關於尋址的私有配置存在問題，導致由於物理地址衝突直接泄露定時行為。”

　　更嚴重的是，SPOILER漏洞會導致在任何操作係統中，沒有特別權限的用戶空間的數據泄露，也可以在虛擬機或沙箱環境中使用。來自SPOILER攻擊的泄露數據本身並沒有太大意義，但可以幫助提高當前攻擊的效率，而黑客也可能利用新獲得的數據展開新形式的攻擊。