Tre nye spekter / meltdown-lignende bugs funnet på cpus intel

Tre nye "spekulative utførelser" -bugs som ligner på de fra Spectre og Meltdown er funnet på Intel- prosessorer, noe som åpner døren for potensielle angrep.

Gjenoppdag sikkerhetsfeil i Intel-prosessorer, som ligner på Spectre og Meltdown

Disse angrepene er definert av numrene CVE-2018-3615, CVE-2018-3620 og CVE-2018-3646 og utgjør en ny kategori av sårbarheter kjent som L1 Terminal Fault (L1TF) og Foreshadow.

For å holde ting enkelt, gjør disse feilene angripere til å lese informasjonen i en prosessors L1-cache, et lite minnepool som bare kan nås av prosesseringskjernen (og tilhørende tråder for SMT-aktiverte CPUer). Å få tilgang til denne normalt begrensede informasjonen kan angripere stjele informasjon som passord og krypteringsnøkler, og det som er skummelt er at dette angrepet kan utføres fra en virtuell maskin til en annen i et virtualisert servermiljø.

Heldigvis kan disse problemene løses gjennom en kombinasjon av firmware, programvare og hypervisor-oppdateringer, og Microsoft rapporterer at programvareoppdateringene har en 'ubetydelig ytelseseffekt' i et blogginnlegg kalt "Hyper-V HyperClear Mitigation for L1. Terminal Fault ” som går i detalj når det gjelder Microsoft-rettelser og andre mulige oppdateringer.

AMD kommenterte at prosessorene "ikke er mottakelige for nye spekulative angrepsvarianter kalt Foreshadow eller Foreshadow-NG på grunn av vår beskyttelse om maskinvaresiden for arkitektur-personsøking." AMD anbefaler også at brukere av datasentre ikke distribuerer Foreshadow-relaterte oppdateringer på sine plattformer.

Intel forklarer hva Foreshadow er og mulige løsninger

L1TF legger til tre nye sårbarheter til en voksende liste over spekulative utførelsesangrep, hvorav mange er unike for Intel-prosessorer.

Gizmodo Font (Image) Overclock3D