一位安全研究人員發(fā)現(xiàn)了幾個(gè)有效的Spectre漏洞����,這些漏洞已于上個(gè)月上傳到VirusTotal數(shù)據(jù)庫(kù)。Spectre與Meltdown一起是兩個(gè)極其嚴(yán)重的硬件漏洞��,它們會(huì)影響Intel�����,IBM POWER和某些基于ARM的處理器���。
盡管英特爾此后已在較新的處理器中實(shí)施了緩解該漏洞的硬件措施���,但較舊的處理器卻不得不依靠性能下降帶來(lái)的軟件修復(fù),從而阻止了其一攬子使用�����。這意味著仍然有許多系統(tǒng)容易受到安全研究員Julien Voisin最近發(fā)現(xiàn)的攻擊的影響�。
“有人愚蠢到上個(gè)月在VirusTotal上上傳了一個(gè)適用于Linux的有效Spectre(CVE-2017-5753)漏洞利用程序(還有一個(gè)我沒有看過的Windows漏洞利用程序)�����,” Voisin在分析這兩個(gè)漏洞利用時(shí)寫道詳細(xì)地����。
工作漏洞
根據(jù)BleepingComputer對(duì)Voisin的摘要的閱讀�,看來(lái),在未打補(bǔ)丁的系統(tǒng)上����,該漏洞利用允許未授權(quán)的用戶讀取在Windows和Linux中都存儲(chǔ)用戶密碼的文件的內(nèi)容����。
Voisin能夠在他的實(shí)驗(yàn)室中在運(yùn)行Fedora的未打補(bǔ)丁的計(jì)算機(jī)上成功使用該漏洞利用程序。
在隨后的討論中�,發(fā)現(xiàn)該漏洞利用程序是一個(gè)更大的軟件包的一部分,該軟件包的名稱似乎表明它是Canvas滲透測(cè)試工具的一部分����。有趣的是,正如BleepingComputer指出的那樣��,Canvas在廣告中宣稱����,它已經(jīng)有超過三年的可用于Windows和Linux的Spectre漏洞利用程序了��。
在Voisin最初的分析之時(shí)�,這兩種漏洞利用的檢測(cè)率都為零��。但是�,在提交此報(bào)告時(shí),已經(jīng)教導(dǎo)了二十個(gè)引擎來(lái)標(biāo)記這些漏洞����。
Spectre and Meltdown在2018年首次引起人們的關(guān)注,當(dāng)時(shí)在2018年發(fā)現(xiàn)過去20年生產(chǎn)的所有Intel CPU都容易受到“災(zāi)難性的” Spectre and Meltdown漏洞的攻擊�。
這些硬件缺陷使普通用戶程序(例如,數(shù)據(jù)庫(kù)應(yīng)用程序和Web瀏覽器中的java script)能夠識(shí)別易受攻擊的芯片的受保護(hù)內(nèi)核存儲(chǔ)區(qū)的某些布局或內(nèi)容����。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
