不到一年,英特尔(Intel)第三次揭露一系列与处理器推测性执行功能相关的新漏洞。27 日英特尔表示,将在“未来几周”发布软件更新,修复另外两个微架构资料取样(Microarchitectural Data Sampling,MDS)或称“僵尸负载”(Zombieload)安全漏洞。这是去年 5 月和 11 月分别发布两个修补程式之后,释出的最新更新修补程式。
与英特尔之前两个修补程式处理的 MDS 漏洞相比,最新漏洞本身会有一些限制。首先,其中一个漏洞,亦即第一级快取资料回收取样(L1 Data Eviction Sampling,L1DES)漏洞,对英特尔最新芯片不会造成影响。再者,骇客不能透过 Web 浏器发动攻击。英特尔另外表示,目前尚不确定是否有在实验室之外利用这些漏洞发动攻击的实例。
然而,就像去年 11 月发布第二回 MDS 修补程式时,安全研究人员对英特尔这种“头痛医头、脚痛医脚”的做法多有批评。“我们花了几个月试图说服英特尔,L1DES 漏洞引发的资料外泄有可能,所以必须尽快解决。”发现此漏洞的国际电脑科学家团队在网站写道。“我们重申 RIDL(Rogue In-Flight Data Load)类型漏洞的修补或缓解十分重大,目前解决这些问题的‘发现漏洞’缓解策略有问题。”研究人员写道:“此外,我们质疑整整一年资讯揭露过程的有效性,并对学术过程的破坏性影响感到担忧。”
刻意淡化批评的同时,英特尔表示已采取重大措施,以降低这些漏洞对处理器可能造成的风险。“从 2019 年 5 月的 MDS 漏洞开始,再到 11 月的 TSX 异步中止(TSX Asynchronous Abort,TAA)漏洞,我们和系统软件合作伙伴已发布相应缓解措施,逐渐显著减少这类问题的整体攻击面,”发言人指出:“我们持续在内部展开这方面研究,并与外部研究机构合作。”
- Intel is patching its Zombieload CPU security flaw for the third time
(首图来源:shutterstock)
