谷歌安全博客披露“英特尔内核漏洞”更多细节

   <p>去年的时候，Google 旗下 Project Zero 团队发现了一个由 CPU“预测执行”导致的严重安全漏洞，而它也是一项被大多数现代处理器使用的性能优化方案。根据研究人员 Jann Horn 的演示，恶意攻击者可借此读取不该被它访问到的系统内存。某个未经授权的一方，可能在系统内存中读取到一些敏感信息，比如密码、加密密钥、或者在应用程序中打开的其它机密信息。</p>    <p style="text-align:center"><img alt="谷歌安全博客披露“英特尔内核漏洞”更多细节" src="https://simg.open-open.com/show/c62d6cc994bde8cdf03e8c1d65402e44.jpg" /></p>    <p>测试还表明，在一台上发起的攻击，甚至能够访问到主机的物理内存。基于此，还可以获取在同一主机上、不同虚拟机的内存读取访问。</p>    <p>该漏洞影响许多 CPU，包括来自英特尔、AMD、ARM 的芯片，以及搭配运行的设备和操作系统。在获悉这种新型攻击的第一时间，谷歌安全和产品开发团队就积极动员了起来，以保护自家系统和用户数据。</p>    <p>万幸的是，谷歌现已更新了系统和受影响的产品，可以防止这类新型攻击。此外他们还与业内的软硬件制造商合作，帮助保护更广泛的客户，这些努力包括协作分析和开发新奇的缓解措施。</p>    <p>受到该漏洞影响的 Google 产品、以及它们当前的状态，可移步至这个页面查看：</p>    <p><a href="/misc/goto?guid=4959012157266594940">https://support.google.com/faqs/answer/7622138</a></p>    <p>鉴于这种攻击类型相当新颖，Google 只列出了当前已知的攻击方式和缓解措施。在某些情况下，用户和客户需要采取额外的步骤，才能确保他们已经用上了受保护的版本。</p>    <p>下面是当前已给出的产品清单：（未列出的 Google 产品需要用户自行采取额外的保护措施）</p>    <p>● Android（请更新至最新的安全补丁）；</p>    <p>● Google Apps / G Suite（含 Gmail、日历、网盘等）；</p>    <p>● Google Chrome（需采取部分额外措施）；</p>    <p>● Google Chrome OS（含 Chromebook）；</p>    <p>● Google Cloud Platform（需采取部分额外措施）；</p>    <p>● Google Home / Chromecast（无需采取额外措施）；</p>    <p>● Google Wifi / OnHub（无需采取额外措施）。</p>    <p>需要指出的是，这个列表和产品的状态可能随着新的进展而改变，必要的情况下，Google 安全团队会对这篇博客的内容进行修改和更新：</p>    <p><a href="/misc/goto?guid=4959012157416425624">https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html</a></p>    <p>来自: <a href="/misc/goto?guid=4959012157551435321" id="link_source2">cnBeta</a></p>