自发现的漏洞影响自2011年型号以来的所有AMD处理器。这些漏洞包括基于推土机架构的陈旧Athlon 64 X2以及基于Zen,Zen +和Zen +和Zen2品牌引入的最新款Epyc和Ryzen处理器。处理器微体系结构。
如此多的CPU受到影响的事实是由于可能利用漏洞的性质所致。这是因为L1数据缓存的未记录区域是可能的。由于L1缓存的功能和结构多年来从未发生根本变化,因此安全漏洞可以追溯到2011年。
L1缓存的跳转预测是问题的原因
具体来说,研究人员根据数据缓存的预测类型(即所谓的路径预测器)发现了两种攻击方法。研究人员称它们为“碰撞+探针”和“加载+重新加载”。这使他们能够观察内存访问并读取访问的部分内容,前提是两者都发生在同一内核上。
具体来说,研究人员能够使用Chrome和Firefox浏览器中的Javascript沙箱发起成功的攻击。这应该在本地和虚拟环境(例如云)中均有效。这可能针对与AMD Epyc处理器兼容的数据中心。
低风险
从清醒的角度来看,尤其是在使用本地设备的情况下,潜在风险非常低,无法与英特尔最近发现的安全漏洞相提并论。代替整个数据集,只能通过攻击提取单个元数据。尽管这是不可接受的,需要进行纠正,但不太可能导致数据丑闻。
微码将需要更新以纠正差距。更长时间地考虑L1缓存体系结构也可能是值得的。
AMD做出回应,但无能为力
在推特漏洞引起关注后,AMD不得不在周六发表评论。但是,制造商否认这是一个新的安全漏洞。相反,在可能的旁信道攻击的通用术语下,它可以被分类为已知的。至少,用户可以使用常见的最佳做法来保护自己免受攻击。
这尤其包括操作系统,所使用的库和所有已安装组件的固件的不断更新,遵守安全程序代码的编码准则以及通常对计算机的谨慎使用和防病毒软件的使用。
研究小组因英特尔赞助而遭到攻击
同时,该研究小组本身也受到批评,因为其部分工作由英特尔资助。 AMD的差距很快就被确定为英特尔的合同工作。
然后,该团队被迫明确表示,他们正在从根本上研究计算机安全性,并且他们还将从英特尔的漏洞悬赏计划中获得收益,该计划已经变得丰盛。此类程序几乎由所有知名制造商维护。他们奖励成功证明其产品存在安全漏洞的外部专家。有关英特尔错误赏金计划的信息也可以在当前的2019年安全报告中找到。
閱讀更多 極美科技生活 的文章
