最近,微軟發(fā)布新一輪縫隙布告,向國內(nèi)團(tuán)隊(duì)公開稱謝——360公司、清華大學(xué)硬件安全和暗碼芯片實(shí)驗(yàn)室一起發(fā)現(xiàn)了新的CPU縫隙,這一縫隙被歸類為L1TF。這是國內(nèi)安全人員初次發(fā)現(xiàn)CPU縫隙。
現(xiàn)在發(fā)現(xiàn),此類縫隙只影響英特爾CPU。360CERT安全專家表明,這次曝出的縫隙,沒有“熔斷”和“幽靈”等級(jí)的威力,不能任意獲取內(nèi)存。而且現(xiàn)在的進(jìn)犯辦法獨(dú)立運(yùn)用不能精準(zhǔn)地獲取方針內(nèi)存,需要其他縫隙合作才干實(shí)現(xiàn),這就給進(jìn)犯者們帶來不小的難度。
可是即便如此,它依然不行小覷——微軟之前針對(duì)CPU縫隙提出的一些緩解辦法,如KPTI,關(guān)于這一縫隙是無效的。
安全專家表明,本次發(fā)現(xiàn)的縫隙,假如被黑客利用,其極限才能可能對(duì)瀏覽器內(nèi)存數(shù)據(jù)、虛擬機(jī),乃至內(nèi)核隱私數(shù)據(jù)進(jìn)行盜取。對(duì)一般網(wǎng)民來說,你的交際媒體賬號(hào),設(shè)置隱私權(quán)限的私密相冊(cè)等,都可能存在被盜取的風(fēng)險(xiǎn)。不過,因?yàn)榭p隙利用難度高,且無法獨(dú)立直接用于精準(zhǔn)竊取隱私,要挾不大,相關(guān)用戶無需過火驚懼。
現(xiàn)在發(fā)現(xiàn),此類縫隙只影響英特爾CPU。360CERT安全專家表明,這次曝出的縫隙,沒有“熔斷”和“幽靈”等級(jí)的威力,不能任意獲取內(nèi)存。而且現(xiàn)在的進(jìn)犯辦法獨(dú)立運(yùn)用不能精準(zhǔn)地獲取方針內(nèi)存,需要其他縫隙合作才干實(shí)現(xiàn),這就給進(jìn)犯者們帶來不小的難度。
可是即便如此,它依然不行小覷——微軟之前針對(duì)CPU縫隙提出的一些緩解辦法,如KPTI,關(guān)于這一縫隙是無效的。
安全專家表明,本次發(fā)現(xiàn)的縫隙,假如被黑客利用,其極限才能可能對(duì)瀏覽器內(nèi)存數(shù)據(jù)、虛擬機(jī),乃至內(nèi)核隱私數(shù)據(jù)進(jìn)行盜取。對(duì)一般網(wǎng)民來說,你的交際媒體賬號(hào),設(shè)置隱私權(quán)限的私密相冊(cè)等,都可能存在被盜取的風(fēng)險(xiǎn)。不過,因?yàn)榭p隙利用難度高,且無法獨(dú)立直接用于精準(zhǔn)竊取隱私,要挾不大,相關(guān)用戶無需過火驚懼。