 编者注:早年处理器规划人员引入乱序执行和分支预测是为了提升性能,而今它们却成为潜在的安全漏洞,在一些虚拟机和云环境(以Xen半虚拟化为主)中可能被人利用。 下面是转载自Intel网站的声明,不完全代表编者看法,供读者朋友参考。 概述 2018 年1月3日,一个安全研究者团队披露了多个软件分析方式,当这些软件分析方式被用于恶意目的时,有可能会有从许多搭载不一样厂商的处理器和操作系统的多种类型的计算设备中收集敏感数据的潜在风险。 英特尔致力于为产品和客户安全提供保障,负责任地披露潜在安全问题。我们与许多其他技术公司(包括 AMD、ARM 控股和多家操作系统供应商)密切合作,以制定用于全行业的方式,快速、有建设性地搞定这一问题。 下文介绍了相关新披露的情况,以及帮助您保护系统和信息的步骤。 这些新分析方式的工作原理 这些攻击是基于侧信道分析。电脑系统的物理操作可以从不一样的视角观察,侧信道是其中之一。侧信道表示电脑系统物理操作的可观测原因。这些原因的统计分析在某些情况下有可能被用于从被操纵的计算设备中收集敏感数据。这些攻击不会破坏、修改或删除数据。 大多数现代处理器能够预测它们需要为特定进程执行什么代码,并提前运行,以便在需要这些结果之前准备好这些结果。这可以大大提升处理器的整体性能和效率,从而提升电脑或移动设备的速度和性能。处理器有时候会把数据从一个内存位置转移到其它位置,供这些进程运用。虽然系统按照规划精确地运行,在某些特定情况下,这些数据也可能会被此类攻击所观察到。 保护您的电脑系统 我们已开始提供相关软件和固件更新以降低由这些潜在的安全问题所造成的影响。终端用户和系统管理员应及时咨询操作系统供应商和系统制造商,并尽快使用可用更新。 如果恶意软件要利用这一点来危害安全,它必须在本地系统中运行。英特尔强烈建议遵循良好的安全措施以防范恶意软件,这同时有利于防止可能的潜在的安全问题触发。 威胁环境在连续演变。英特尔致力于加强产品安全性和可靠性方面的投资,与行业安全研究人员和业内有关各方开展建设性合作,全力保护用户的敏感信息。 有用的资源 这个列表并不全面。系统制造商、操作系统供应商以及此处未列出的其它厂商可能已经发布了相关的信息。请与您的系统制造商或操作系统供应商联系,获得更新或通报信息。 新闻发布室:英特尔关于安全研究结果的回应 https://newsroom.intel.cn/news-releases/press-release-2018-jan-03/ 英特尔客户支持 https://supporttickets.intel.com/?_ga=2.247131340.974755074.1515505819-83283521.1515505819 英特尔安全中心 https://security-center.intel.com/?_ga=2.247131340.974755074.1515505819-83283521.1515505819 维基百科上关于侧信道攻击的介绍 https://en.wikipedia.org/wiki/Side-channel_attack 维基百科上关于预测执行的介绍 https://en.wikipedia.org/wiki/Speculative_execution 有关安全做法的第三方信息 Stop.Think.Connect:https://www.dhs.gov/stopthinkconnect National Cyber Security Alliance:https://staysafeonline.org/stay-safe-online/ 常见问题 我的数据是否面临风险? 这些攻击,当被用于恶意目的时,有可能不当地收集敏感数据。英特尔认为,这些攻击不会破坏、修改或删除数据。请与您的操作系统供应商或系统制造商联系,并尽快采纳可用的更新。英特尔强烈建议日常遵循抵御恶意软件的安全操作,也有助于防御利用这些分析方式的可能攻击。 英特尔是否获悉现实世界中有任何利用这些潜在的安全问题进行攻击的情况? 研究人员展示了概念验证,而英特尔能够复制这些研究结果。英特尔现在尚未获悉任何基于这些隐忧的恶意软件。然而,终端用户和系统管理员应当尽快采纳任何可用的更新,并日常遵循抵御恶意软件的安全操作。 这是英特尔硬件或处理器规划中的漏洞么? 否。这不是英特尔产品中的一个漏洞或缺陷。这些新的攻击利用了有关现代计算平台中常见的处理技术正常操作的数据,即使系统按照规划精确地运行也可能会危害安全性。根据迄今的分析,许多类型的计算设备(采用来自许多不一样供应商的处理器和操作系统)都会容易受到相似攻击。 这个问题影响了哪些公司的产品? 很多现代微处理器架构——包括但不限于英特尔的——受到影响。更多信息请参考安全研究人员的博客文章。 英特尔为什么不消除侧信道分析方式? 简单地说,侧信道表示电脑系统物理操作的可观测视角,例如时间、功耗,甚至声音。因此,它们无法消除。然而,英特尔致力于快速搞定此类问题,并通过安全通报和安全通知而提供建议。 能否远程启动这些攻击? 否。任何利用这种侧信道分析方式的恶意软件必须在机器上本地运行。日常遵循抵御恶意软件的安全操作,也有助于在使用更新之前防止这一问题可能造成的破坏。 英特尔什么时候得知这个问题? 相关安全研究人员在2017年6月向英特尔和其它公司通报了该问题。英特尔致力于负责任的披露。在这个问题上,安全研究有信心地展示了他们的研究结果,我们和其它公司一起对结果进行了验证,开发并验证面向受影响技术的固件和操作系统更新,并尽快广泛地提供这些更新。 搞定该问题的更新会在什么时候发布? 英特尔和其它公司已经开始提供软件和固件更新来抵御这些破坏。终端用户和系统管理员应当与操作系统供应商或系统制造商联系,并尽快采纳可用的更新。 我该如何保护我的系统和信息? 终端用户和系统管理员应当与操作系统供应商或系统制造商联系,并尽快采纳可用的更新。日常遵循抵御恶意软件的安全操作,也有助于在使用更新之前防止这一问题可能造成的破坏。某些措施包括: 保持对计算环境的控制力 定期检查并采纳可用的固件/驱动程序更新 运用硬件和软件防火墙 关闭不运用的服务 保持恰当的用户权限 更新安全软件 避免点击未知的链接 避免在多个网站上运用相同的密码 有关好的安全做法,更多信息请见: Stop.Think.Connect:https://www.dhs.gov/stopthinkconnect National Cyber Security Alliance: https://staysafeonline.org/stay-safe-online/ 更新会不会降低我的系统的性能? 某些工作负载或基准测验的性能会受到影响,具体影响的程度取决于微处理器和平台配置(硬件和软件)。某些专用工作负载可能会看到显著的性能下降,但对于大多数用户来说影响并不显著。 搞定英特尔系统上的这个问题的一些更新为什么来自于系统制造商,还有一些来自于操作系统供应商? 针对这个问题的最有效搞定方案可能会有不一样,并且可能包括操作系统和固件更新。 哪些英特尔平台受这个问题的影响? 下面的英特尔平台受到这个问题的影响。英特尔今后可能修改本列表。 有关您的系统的更多信息,请咨询您的系统供应商或设备制造商。 英特尔 酷睿 i3 处理器(45nm和32nm) 英特尔 酷睿 i5 处理器(45nm和32nm) 英特尔 酷睿 i7 处理器(45nm和32nm) 英特尔 酷睿 M 处理器系列(45nm和32nm) 第2代英特尔 酷睿 处理器 第3代英特尔 酷睿 处理器 第4代英特尔 酷睿 处理器 第5代英特尔 酷睿 处理器 第6代英特尔 酷睿 处理器 第7代英特尔 酷睿 处理器 第8代英特尔 酷睿 处理器 面向英特尔 X99平台的英特尔 酷睿 X系列处理器系列 面向英特尔 X299平台的英特尔 酷睿 X系列处理器系列 英特尔 至强 处理器 3400系列 英特尔 至强 处理器 3600系列 英特尔 至强 处理器 5500系列 英特尔 至强 处理器 5600系列 英特尔 至强 处理器 6500系列 英特尔 至强 处理器 7500系列 英特尔 至强 处理器 E3系列 英特尔 至强 处理器 E3 v2系列 英特尔 至强 处理器 E3 v3系列 英特尔 至强 处理器 E3 v4系列 英特尔 至强 处理器 E3 v5系列 英特尔 至强 处理器 E3 v6系列 英特尔 至强 处理器 E5系列 英特尔 至强 处理器 E5 v2系列 英特尔 至强 处理器 E5 v3系列 英特尔 至强 处理器 E5 v4系列 英特尔 至强 处理器 E7系列 英特尔 至强 处理器 E7 v2系列 英特尔 至强 处理器 E7 v3系列 英特尔 至强 处理器 E7 v4系列 英特尔 至强 处理器可扩展系列 英特尔 至强融核 处理器3200、5200、7200系列 英特尔凌动 处理器 C系列 英特尔凌动 处理器 E系列 英特尔凌动 处理器 A系列 英特尔凌动 处理器 x3系列 英特尔凌动 处理器 Z系列 英特尔 赛扬 处理器 J系列 英特尔 赛扬 处理器 N系列 英特尔 奔腾 处理器 J系列 英特尔 奔腾 处理器 N系列 我的系统的处理器不在上面的列表中。我该怎么做? 在某些情况下,操作系统更新可以搞定这个问题。请联系您的设备制造商或操作系统供应商,并尽快采纳可用的更新。如果没有更新可用或无法安装,日常遵循抵御恶意软件的安全操作,也有助于防止可能的攻击。 |
|Archiver|手机版|家电维修论坛
( 蜀ICP备19011473号-4 川公网安备51102502000164号 )
GMT+8, 2025-8-30 05:20 , Processed in 0.177018 second(s), 16 queries .
Powered by Discuz! X3.5
© 2001-2025 Discuz! Team.
