自發現的漏洞影響自2011年型號以來的所有AMD處理器。這些漏洞包括基於推土機架構的陳舊Athlon 64 X2以及基於Zen,Zen +和Zen +和Zen2品牌引入的最新款Epyc和Ryzen處理器。處理器微體系結構。
如此多的CPU受到影響的事實是由於可能利用漏洞的性質所致。這是因為L1數據緩存的未記錄區域是可能的。由於L1緩存的功能和結構多年來從未發生根本變化,因此安全漏洞可以追溯到2011年。
L1緩存的跳轉預測是問題的原因
具體來說,研究人員根據數據緩存的預測類型(即所謂的路徑預測器)發現了兩種攻擊方法。研究人員稱它們為“碰撞+探針”和“加載+重新加載”。這使他們能夠觀察內存訪問並讀取訪問的部分內容,前提是兩者都發生在同一內核上。
具體來說,研究人員能夠使用Chrome和Firefox瀏覽器中的Javascript沙箱發起成功的攻擊。這應該在本地和虛擬環境(例如雲)中均有效。這可能針對與AMD Epyc處理器兼容的數據中心。
低風險
從清醒的角度來看,尤其是在使用本地設備的情況下,潛在風險非常低,無法與英特爾最近發現的安全漏洞相提並論。代替整個數據集,只能通過攻擊提取單個元數據。儘管這是不可接受的,需要進行糾正,但不太可能導致數據醜聞。
微碼將需要更新以糾正差距。更長時間地考慮L1緩存體系結構也可能是值得的。
AMD做出回應,但無能為力
在推特漏洞引起關注後,AMD不得不在週六發表評論。但是,製造商否認這是一個新的安全漏洞。相反,在可能的旁信道攻擊的通用術語下,它可以被分類為已知的。至少,用戶可以使用常見的最佳做法來保護自己免受攻擊。
這尤其包括操作系統,所使用的庫和所有已安裝組件的固件的不斷更新,遵守安全程序代碼的編碼準則以及通常對計算機的謹慎使用和防病毒軟件的使用。
研究小組因英特爾贊助而遭到攻擊
同時,該研究小組本身也受到批評,因為其部分工作由英特爾資助。 AMD的差距很快就被確定為英特爾的合同工作。
然後,該團隊被迫明確表示,他們正在從根本上研究計算機安全性,並且他們還將從英特爾的漏洞懸賞計劃中獲得收益,該計劃已經變得豐盛。此類程序幾乎由所有知名製造商維護。他們獎勵成功證明其產品存在安全漏洞的外部專家。有關英特爾錯誤賞金計劃的信息也可以在當前的2019年安全報告中找到。
閱讀更多 極美科技生活 的文章
