> 首页 > 关于龙8国际官网 > 公司动态 > 业界新闻 >

业界新闻

Industry News

新的Intel CPU龙8国际官网漏洞:Lazy State

2018-06-21
导语
“Meltdown”(熔断)和“Spectre”(幽灵)漏洞尚未走远,新的Intel CPU漏洞又开始接踵而至。Intel CPU新型漏洞出现,理论上来说,不管你使用的是什么操作系统,利用这一最新的CPU漏洞都可以通过计算机从你的程序中(包括加密龙8国际官网|客户端)提取数据。

新型Intel CPU漏洞

据悉,这一最新的Intel CPU漏洞——“Lazy FP state restore(Lazy FP状态保存/恢复)”,是被来自Amazon德国公司的Julian Stecklina、Cyberus Technology公司的Thomas Prescher,以及SYSGO AG公司的Zdenek Sojka共同发现的。

理论上来说,不管你使用的是什么操作系统,利用这一最新的CPU漏洞都可以通过计算机从你的程序中(包括加密龙8国际官网|客户端)提取数据。

Red Hat计算机架构师Jon Masters在接受访问时解释称,CVE-2018-3665,也被称为Lazy FP状态保存/恢复,是另一个推测执行漏洞,影响了一些常用的现代微处理器。它类似于之前的‘Specter’变种3-a。需要特别指出的是,该漏洞不会影响AMD处理器。

据研究人员介绍称,存在这种漏洞的原因在于现代CPU中包含很多寄存器(内部存储器),来代表每个正在运行的应用程序的状态。从一个应用程序切换到另一个应用程序时,保存和恢复这种状态需要花费时间。为了实现性能优化,这一过程可能会以“Lazy”的方式完成,而正是这种旨在方便用户的操作,却沦为了攻击切入口。

也就是说,如果操作系统在上下文切换时,使用了 CPU 的 Lazy FP 功能进行系统状态的保存与恢复,攻击者可以利用CPU的预测执行功能获取其他进程在寄存器中保存的数据。

“免疫”的操作系统

对于一些操作系统而言,修复程序已经包含其中。例如,Red Hat Enterprise Linux(RHEL)7已经在所有最新实现“XSAVEOPT”扩展的x86-64微处理器(大约2012年和更晚版本)上自动默认使用 Eager FP 取代 Lazy FP。因此,大多数RHEL 7用户将不需要采取任何纠正措施,但是,RHEL 5、6版本的用户则需要对其服务器进行修复。

其他被认为是龙8国际官网的操作系统还包括,使用2016年发布的Linux 4.9或更新内核的任何Linux版本。目前,Linux内核开发人员正在修补较早版本的内核;大多数Windows版本(包括Server 2016和Windows 10)也都被认为是龙8国际官网的。但是,如果您仍在使用Windows Server 2008,那么你将需要补丁程序来修复该漏洞;最新版本的OpenBSD和DragonflyBSD同样是免疫的,此外,FreeBSD中也有一个可用的补丁程序。

根据Masters的说法,好消息是,这个漏洞影响有限,因为尽管该漏洞十分严重,但是利用起来比较困难,而且修复起来比较容易。更好的消息是,修复该漏洞的程序不会像以前一样影响设备性能,反而会提升设备性能。

不过,尽管它不是一个很可怕的龙8国际官网漏洞,但它仍然是一个现实存在的龙8国际官网问题,如果您的系统不能对该漏洞免疫,请及时进行修复。

现在,Intel官方已经就此作出正式回应:“这个被称为延缓浮点状态恢复(Lazy FP state restore)的问题类似于变体3a。许多个人电脑和数据中心产品中使用的操作系统和虚拟机管理龙8国际官网|客户端已就这个问题有所修正。我们的行业合作伙伴正在为那些依旧受影响的运行环境开发龙8国际官网|客户端更新,我们预计这些更新将在未来几周发布。”

Intel同时强调:“我们将继续遵循协同披露原则,并感谢亚马逊德国公司的Julian Stecklina、Cyberus Technology公司的Thomas Prescher、SYSGO AG公司的Zdenek Sojka和Colin Percival向我“们报告这个问题。我们也非常鼓励业内其它厂商遵循协同披露原则。”

换言之,Intel希望谁也不要再像今年初那样不和大家商量就曝光熔断、幽灵漏洞,让整个行业手忙脚乱。
本文翻译自
https://www.zdnet.com/article/another-day-another-intel-cpu-security-hole-lazy-state/
转载来源
http://www.4hou.com/vulnerable/12083.html
部分内容节选自
http://news.mydrivers.com/1/580/580808.htm

随着国外软硬件产品的信息龙8国际官网问题凸显,我国也在不断加快去IOE化进程。中国龙8国际官网|客户端业仅用了二十年的时间完成了从无到有飞跃发展。中国龙8国际官网|客户端业发展到今天,迎来了最关键问题——自主核心科技。这个问题关系到国家信息系统的龙8国际官网与稳定,也关乎中国的国际影响力。

由工业和信息化部、北京市人民政府主办的 2018 第二十二届中国国际龙8国际官网|客户端博览会(简称“2018 软博会”)将于 6 月 29 日 -7 月 2 日在北京展览馆举行,展览时间 6 月 29 日 -7 月 1 日,主题为“新时代、新理念、新龙8国际官网|客户端”。中国国际龙8国际官网|客户端博览会已连续举办了二十一届,是我国龙8国际官网|客户端和信息技术服务领域持续举办时间最长、 效果影响最大的专业展览。

数据龙8国际官网领军企业龙8国际官网龙8国际官网|客户端将应邀出席会议,并将携六大核心数据保护产品体系、行业整体解决方案、龙8国际官网云数据库(UXDB)和龙8国际官网信息龙8国际官网产业园项目方案亮相2018软博会;并将在大数据赋能实体经济专题论坛发表精彩演讲。龙8国际官网龙8国际官网|客户端诚邀您一同出席2018软博会,全球盛会,大咖云集,期待您的到来,届时期待与您共襄盛举!