已发现两个影响 Intel 和 AMD CPU 的漏洞。 对于那些尚未更新系统的人来说,两者都会影响几代处理器。
新威胁被称为“Downfall”和“Inception”,两者都基于推测执行,类似于错误“Meltdown”和“Spectre”。 两者的严重程度都被描述为“中等”,其中影响英特尔芯片和针对 AMD 处理器的 Inception。
目前,英特尔和 AMD 都已发布操作系统级微码软件更新,两家公司都致力于解决这两个漏洞。 作为 报道者 两家公司还向 Ars Technica 证实,他们尚未发现任何漏洞被利用。
然而,重要的是,一旦英特尔和 AMD 推出,制造商就应该发布自己的更新来解决这些问题。 无论是衰落还是诞生,都会给消费产品、服务器 CPU 和工作站带来风险,所有这些产品都配备了已经使用多年的 Intel 或 AMD 处理器。
灭亡
从各方面来看,“垮台”是这两个漏洞中较大的一个。 它被称为 ”CVE-2022-40982‘,它的概述是 Google 安全研究员 Daniel Moghimi。 他 描述它 像这样:
“该漏洞是由英特尔处理器中的内存优化功能引起的,该功能无意中将内部硬件寄存器暴露给软件。 这使得不可信的软件可以访问通常不应访问的其他程序存储的数据。 我发现 Gather 指令旨在加速对内存中分散数据的访问,但在推测执行期间会泄漏内部向量寄存器文件的内容。 为了利用此漏洞,我引入了收集数据采样(GDS)和收集值注入(GVI)技术。 有关更多详细信息,您可以阅读我写的有关它的文章。”
Moghimi 表示,Downfall 是 Meltdown 漏洞的“后继者”,因为两者都依赖推测执行来损坏受影响的系统。
据英特尔称,所有基于 Skylake、Kaby Lake、Whiskey Lake、Ice Lake、Comet Lake、Coffee Lake、Rocket Lake 和 Tiger Lake 以及其他处理器代的处理器均受到 Downfall 的影响。 这意味着截至 2015 年的大多数芯片都会受到影响。
不过,英特尔基于Alder Lake和Raptor Lake的最新第12代和第13代芯片不受影响。 低端 CPU Celeron、Pentium 和 Apollo 也不受影响。
开始
起始也被称为“CVE-2023-20569“在某些英特尔®处理器的某些向量执行单元中瞬时执行后,微架构状态的信息泄露可能允许经过身份验证的用户可能通过本地访问来实现信息泄露。”
苏黎世联邦理工学院 COSMEC 小组的安全研究人员指出,该漏洞可能会泄露许多 AMD 处理器上的任意数据,包括 Ryzen、EPYC 和 Threadripper。 集团有 还发表了 演示该漏洞的概念验证视频。
好消息是,这些漏洞已被英特尔和 AMD 修复,而且它们似乎都不像它们所衍生的 Meltdown 和 Spectre 漏洞那么危险。
可能是升级的好时机 Apple 硅
尽管如此,这些普遍存在的漏洞至少是一个温和的提醒 Apple 在选择处理器时放弃了英特尔。 该公司现正全力以赴 Apple Silicon,这意味着您不必担心 Intel 或 AMD 的此类漏洞。
值得注意的是,即使有 Apple 硅。 例如,“PacMan”bug 是 2022 年 Spectre 和 Meltdown 的回声,但它并未对任何现实世界的计算机造成任何严重损坏。
