北京時間5月22日凌晨消息,本周一,英特爾和微軟公布了一個Spectre and Meltdown安全漏洞的新變體,存在該漏洞的芯片被廣泛應(yīng)用于計算機和移動設(shè)備上。
英特爾稱該新發(fā)現(xiàn)的漏洞為“變體4號”。該公司表示,盡管該最新變體與今年一月份發(fā)現(xiàn)的安全漏洞屬于同種類型,但它使用了一種不同的獲取敏感信息的方法。
Spectre and Meltdown安全漏洞還在繼續(xù)影響著英特爾、ARM、和AMD等芯片廠商,這些公司生產(chǎn)的計算機和移動設(shè)備芯片中大多存在此漏洞。該漏洞使得黑客能讀取計算機CPU上的敏感信息,已經(jīng)在過去二十年內(nèi)影響了數(shù)百萬的芯片。盡管類似蘋果、微軟、英特爾這樣的廠商都在發(fā)布修補該漏洞的補丁,但有些補丁并不管用,并且還導(dǎo)致計算機出現(xiàn)故障。
黑客們經(jīng)常在線搜尋各類漏洞,以對存在該漏洞的計算機實施攻擊。比如,去年造成嚴重影響的WannaCry勒索軟件攻擊就利用的是一個微軟已經(jīng)修補了的漏洞,沒有安裝系統(tǒng)安全更新的電腦更易受到攻擊。
據(jù)英特爾發(fā)表的一篇博客文章顯示,該公司將這個“變體4號”漏洞標(biāo)記為中級風(fēng)險,因為與該漏洞有關(guān)的瀏覽器的多個缺陷已經(jīng)通過首個補丁包解決了。該新變體利用的是“Speculative Store Bypass”,該缺陷能使處理器芯片向潛在的不安全區(qū)域泄露敏感信息。
英特爾表示,還沒有發(fā)現(xiàn)有黑客在利用這個漏洞發(fā)起攻擊,并將在未來幾周內(nèi)發(fā)布修補此漏洞的安全補丁。英特爾主管安全的高級副總裁萊斯利·庫爾本森(Leslie Culbertson)在博客文章中提到,將向硬件廠商和軟件開發(fā)商提供該漏洞的補丁。她表示,這次的補丁更新不會出現(xiàn)以往影響計算機性能的情況了。
在一份由微軟公布的安全報告中,該公司稱此次發(fā)現(xiàn)的漏洞變體可能使得黑客能在瀏覽器的JavaScript中植入攻擊腳本。
來自谷歌Project Zero項目的研究人員首次發(fā)現(xiàn)了該漏洞的初始版本,并在今年二月份向英特爾、AMD和ARM公司報告了此漏洞。該團隊同樣將該變體標(biāo)記為中等嚴重風(fēng)險。