设计缺陷！英特尔又现8个CPU新漏洞 4个高风险预计5月将得到修复

8个CPU新漏洞。德国计算机杂志C'T Magazine的一份报告声称，英特尔近期将披露现代处理器中发现的8个新安全漏洞。英特尔并未直接处理报告中提到的漏洞，但已确认对通用漏洞披露(CVE)编号的保留，这是调查和缓解可能问题的一部分。

“保护我们客户的数据并确保我们产品的安全性是我们的关键优先事项。” 英特尔的Leslie Culbertson在5月3日周四的一份声明中表示，“我们经常与客户，合作伙伴，其他芯片制造商和研究人员密切合作，了解并缓解已识别的任何问题，并且此过程的一部分涉及预留CVE编号块。我们深信协调披露的价值，并会在我们确定缓解措施时分享有关任何潜在问题的额外细节。作为最佳做法，我们继续鼓励每个人保持系统的最新状态。”

据报道，Meltdown和Specter并不是现代处理器设计中发现的最后一个漏洞。据报道，几个研究团队已经向英特尔披露了8个新的安全漏洞，所有这些漏洞都源于同样的设计问题。关于这8个漏洞的细节未知，但他们目前被称为“新一代幽灵(Spectre)”。

不要让星际迷航式的名字骗过你，每个漏洞都会有自己的CVE号码，就像Meltdown和Spectre一样。因此，英特尔将被要求提供8个不同的补丁。

图片来源：The Indian Express

Specter下一代补丁应该会有两种波形提供：5月的第一次和8月的第二次。英特尔将四个分类为“高风险”，因此我们预计本月会看到这些缓解措施，而“中等”漏洞可能在今年夏天得到修复。

据报道，这些漏洞与原始的Spectre漏洞相似，除了构成比Spectre Variant 1和Variant 2更高风险的漏洞。它可能允许黑客在虚拟机中启动恶意代码，这是一个功能完整的软件模拟PC。它们通常用于企业环境中以降低硬件成本，并在高性能数据中心服务器上运行。

尽管如此，利用漏洞可能会让黑客通过虚拟机攻击主机服务器，让个人访问存储在服务器内存中的所有信息。当服务器同时运行多个虚拟机时，这就是一个大问题。

报告指出：“用于安全数据传输的密码和密钥是云系统非常受欢迎的目标，并且严重受到这种差距的威胁。” “旨在保护云服务器上敏感数据的英特尔软件防护扩展(SGX)也不是Spectre式安全。”

英特尔并不是唯一面临额外补丁的CPU制造商。该报告称，一些基于ARM的处理器也容易受到下一代Spectre漏洞的攻击，而研究人员目前正在研究AMD处理器系列的相似漏洞。

硬件安全公司Eclypsium CEO、前英特尔安全研究员Yuriy Bulygin说：“看看Metldown和Spectre造成的冲击，新漏洞可能会触动新一轮升级循环，时间漫长，过程痛苦，甚至可能牵涉到性能和稳定问题。给硬件打补丁是一件很棘手的事，希望在Metldown和Spectre的指引下，过程能变得更简单一些。”