炼数成金 门户 大数据 安全 查看内容

CPU 芯片漏洞第二季的预告片来了: Skyfall 和 Solace

2018-1-19 16:33| 发布者: 炼数成金_小数| 查看: 26933| 评论: 0|来自: 云头条

摘要: 2018年年初,Meltdown和Spectre两大安全漏洞在IT界引发了一场地震。现在据称又爆出两个漏洞,为确保安全而实施的禁令撤销后会有详细信息出来。令人好奇的是,这两个新漏洞的名字取自詹姆斯·邦德影片:Skyfall(《00 ...

Java 安全 Hadoop 培训 芯片

2018年年初,Meltdown和Spectre两大安全漏洞在IT界引发了一场地震。现在据称又爆出两个漏洞,为确保安全而实施的禁令撤销后会有详细信息出来。

Skyfall 的 logo


Solace 的 logo

令人好奇的是,这两个新漏洞的名字取自詹姆斯·邦德影片:Skyfall(《007大破天幕杀机》)和Solace(《007大破量子危机》)。


据消息灵通人士称,这些漏洞也是芯片存在的物理问题,因而很难完全有把握地彻底消除。据说Meltdown和Spectre这两个漏洞利用了现代CPU中的一项功能:推测性执行。目前还没有可信赖的证据,不过下列信息业已发布:

继最近发布Meltdown和Specter漏洞:CVE-2017-5175、CVE-2017-5753和CVE-2017-5754后,坊间在广泛猜测能否完全消除描述的所有问题。

Skyfall和Solace是基于Meltdown和Spectre暴露的弱点实施的两种推测性攻击。

细节仍然很少,但Skyfall和Solace这两个漏洞都利用了与Meltdown和Specter同样的攻击途径:推测性执行。据安全漏洞信息网站skyfallattack.com声称,如此看来,微软、苹果和谷歌等操作系统开发商以及AMD、英特尔和ARM等芯片制造商再次需要通力合作,消除这些问题。

新的漏洞会有多严重仍需拭目以待,但是钻同样功能的空子可能会导致安全受到严重影响――就Spectre攻击而言,可以用JavaScript来钻浏览器的漏洞,网上有简单的示例代码:


所以眼下有人推测可以钻流行系统的空子,但不怀好意的人还无法利用Skyfall和Solace的漏洞搞什么名堂。与往常一样,浏览和下载来源不明的文件时要格外小心。

报道真实性仍存在问题
目前的来源是托管在英国主机托管服务商Mythic Beasts上的一个临时搭建的.com网站。该公司在其博客上讨论了Meltdown和Specter,这让人们更相信他们确实深入了解安全问题。

专家们声称,有可能在拥有推测性执行功能的芯片中发现Spectre这类旁路攻击;还有人怀疑,安全研究人员只是在结果公布之前掩盖踪迹。

如果你想知道为何没有人撰文介绍另外两个“被禁”的CPU漏洞:Skyfall和Solace,那是由于这99%是个骗局。(云头条注:而不是100%)

在线刊物The Register在Twitter上声称,它确信Skyfall和Solace两个漏洞是场骗局,因为其在几家芯片制造商的联系人都没有听说过这一漏洞。

是否存在以上两个安全漏洞只能用时间来证明了

欢迎加入本站公开兴趣群
软件开发技术群
兴趣范围包括:Java,C/C++,Python,PHP,Ruby,shell等各种语言开发经验交流,各种框架使用,外包项目机会,学习、培训、跳槽等交流
QQ群:26931708

Hadoop源代码研究群
兴趣范围包括:Hadoop源代码解读,改进,优化,分布式系统场景定制,与Hadoop有关的各种开源项目,总之就是玩转Hadoop
QQ群:288410967

鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

热门频道

  • 大数据
  • 商业智能
  • 量化投资
  • 科学探索
  • 创业

即将开课

 

GMT+8, 2018-7-20 14:39 , Processed in 0.163694 second(s), 24 queries .