英特尔的新缺陷芯片有可能使攻击者不仅查看通过系统的特权信息,而且还可能插入新数据。普通用户不必担心该漏洞,但是就信息安全威胁的形式而言,它只是时代的标志。
您可能对Meltdown,Spectre和Heartbleed熟悉,它的名称明显不那么吸引人:负载值注入或LVI。它是由BitDefender和由Jo Van Bulck领导的多大学小组独立发现的。
该漏洞的确切技术细节(如此处记录)不是普通用户会理解或无法修复的任何内容。但是,您应该了解以下内容:LVI是缺陷的一般类别的一部分,该缺陷与大多数现代计算体系结构所使用的称为“推测执行”的技术有关。
内核恐慌!什么是Meltdown和Spectre,这些错误几乎影响了每台计算机和设备?
推测性执行有点像,如果有人开始相当缓慢地在黑板上写数学问题,您决定以可能解决的10种方式抢先解决问题。这样,当老师完成问题的写作后,您就可以准备好答案,而只需放弃其他答案即可。当然,处理器也以更为复杂和规范的方式执行此操作,即使用空闲周期来推测性地执行各种计算。
最近,这种方法显示的安全性较差,因为它可以通过仔细探查和探寻芯片的最深层代码来获得通常被高度保护和加密的数据。但是,尽管Meltdown和Spectre打算强迫泄漏并收集数据,但LVI却更进一步,让攻击者在过程中放置新值,以便他们可以干扰甚至控制结果。而且,这是在“ SGX Enclave”内部进行的,“ SGX Enclave”旨在成为一个坚不可摧的子系统,可以信任该子系统的安全性。(要清楚,这远不是随意执行代码,而是一种操纵此表面上安全的通道的新有效方法。对该段进行了小幅更新以使内容更加清楚。)
这些过程在计算机的许多代码和执行层中是如此深入,以至于无法说出它们可以做什么和不能做什么。最安全的假设是,对于这个基本问题(让攻击者用自己的安全值替代某些安全值),整个事情都受到了损害。
这个名字不是那么吸引人,但确实有一个很酷的徽标
当然有缓解措施,但是它们可能严重影响芯片的性能。但是,必须将它们放置在任何存在此缺陷的裸露芯片上-这几乎是去年之前推出的任何现代Intel芯片。
英特尔本身非常了解此问题,实际上,它发布了长达30页的LVI技术摘要以及它所支持的各种特定攻击。但是,一开始要特别注意,这不是广泛部署的事情:
该论文读到:“由于成功实施LVI方法必须满足众多复杂的要求,因此LVI在现实环境中不是实际的利用方法。”
这就是为什么您不必为此担心。一个简单的事实是,您可能不是此攻击的理想目标。要实现这一目标并不容易,作为个人,最好通过传统手段(网络钓鱼等)或在数据中心级别批量收集数据。因此,重要的不是您要尽快更新PC,而是拥有并运行数百万服务器的公司。
但是,即使那样,也可能是没有公开曝光的系统或多或少没有能力被攻击者访问,即使它们被攻击,它们也可能无法处理任何值得掌握的数据。因此,最终要由这些公司来决定他们的优先级,然后由像英特尔这样的芯片制造商来设计未来的芯片和体系结构而没有诸如LVI和其他内置缺陷的缺陷。当然,考虑到这些复杂性,这很难做到。系统,但确实如此。