谷歌安全博客披露“英特爾內核漏洞”更多細節

去年的時候，Google 旗下 Project Zero 團隊發現了一個由 CPU“預測執行”導致的嚴重安全漏洞，而它也是一項被大多數現代處理器使用的性能優化方案。根據研究人員 Jann Horn 的演示，惡意攻擊者可借此讀取不該被它訪問到的系統內存。某個未經授權的一方，可能在系統內存中讀取到一些敏感信息，比如密碼、加密密鑰、或者在應用程序中打開的其它機密信息。

測試還表明，在一臺上發起的攻擊，甚至能夠訪問到主機的物理內存。基于此，還可以獲取在同一主機上、不同虛擬機的內存讀取訪問。

該漏洞影響許多 CPU，包括來自英特爾、AMD、ARM 的芯片，以及搭配運行的設備和操作系統。在獲悉這種新型攻擊的第一時間，谷歌安全和產品開發團隊就積極動員了起來，以保護自家系統和用戶數據。

萬幸的是，谷歌現已更新了系統和受影響的產品，可以防止這類新型攻擊。此外他們還與業內的軟硬件制造商合作，幫助保護更廣泛的客戶，這些努力包括協作分析和開發新奇的緩解措施。

受到該漏洞影響的 Google 產品、以及它們當前的狀態，可移步至這個頁面查看：

https://support.google.com/faqs/answer/7622138

鑒于這種攻擊類型相當新穎，Google 只列出了當前已知的攻擊方式和緩解措施。在某些情況下，用戶和客戶需要采取額外的步驟，才能確保他們已經用上了受保護的版本。

下面是當前已給出的產品清單：（未列出的 Google 產品需要用戶自行采取額外的保護措施）

● Android（請更新至最新的安全補丁）；

● Google Apps / G Suite（含 Gmail、日歷、網盤等）；

● Google Chrome（需采取部分額外措施）；

● Google Chrome OS（含 Chromebook）；

● Google Cloud Platform（需采取部分額外措施）；

● Google Home / Chromecast（無需采取額外措施）；

● Google Wifi / OnHub（無需采取額外措施）。

需要指出的是，這個列表和產品的狀態可能隨著新的進展而改變，必要的情況下，Google 安全團隊會對這篇博客的內容進行修改和更新：

https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html

來自: cnBeta