Intel failles de sécurité de la reproduction: 2011 après l'ordinateur presque tous les canons, peuvent voler des données de mots de passe

2019-05-15 12:27:00

Anne à partir du bas de la non-Temple encastré

Qubit produit | Numéro public QbitAI

Juste, Intel a de nouveau des failles apparentes dans la puce de sécurité, nom de code « ZombieLoad », traduit par " charge morte ".

Cette vulnérabilité a deux caractéristiques principales.

Tout d'abord, la couverture est grande.

technologie des médias de TechCrunch généralement émis l'hypothèse qui affectent la portée de la vulnérabilité de presque tous les ordinateurs équipés de la puce Intel 2011.

En d'autres termes, que ce soit Microsoft ou un ordinateur Apple, quel que soit le système informatique, tout sera pris, ne peut être épargné.

En second lieu, menaçant la confidentialité des utilisateurs.

Les pirates pourraient exploiter ces vulnérabilités, et voir quels sites l'utilisateur un accès en temps réel de, et il est facile de réutiliser ces informations pour obtenir le mot de passe et compte jeton d'accès de l'utilisateur.

Votre vie privée peut être si inexplicable exposé.

Cela permet aux utilisateurs d'exploser soudainement, sont montés à bord TechCrunch, Techmeme et un certain nombre de titres de la science et de la technologie.

C'est une sorte d'échappatoire?

défaut de conception

charge morte est un canal côté attaque, qui est, l'information de temps, la consommation d'énergie, les fuites électromagnétiques ou même son, d'autres sources d'information peuvent être l'occasion de lancer le piratage.

Pour les utilisateurs d'Intel, les pirates ne ont pas besoin d'injecter du code malveillant, vous pouvez pirater un ordinateur par le biais de cette échappatoire.

C'est Micro-architecture échantillonnage de données (MDS) attaque En utilisant l'opération d'exécution spéculative de la charge de la CPU, la mémoire et d'autres micro-architecture, les données peuvent être déduites d'autres applications sont traitées dans l'unité centrale de traitement, et ainsi voler des données.

En bref, il permet au processeur ne peut pas comprendre et gérer correctement les données, ce qui oblige les processeurs à rechercher processeur microinstruction (microcode) aide à prévenir le plantage du système.

En règle générale, une application ne peut voir leurs propres applications de données, mais quand les zombies échappatoire de charge qui permet aux données de rester en dehors de ces murs d'enceinte, la divulgation de tous les processeurs de données de base actuellement chargé.

Les chercheurs ont découvert que l'une des vulnérabilités de Daniel Gruss dit, par la charge d'impact PC zombie et ordinateur portable est non seulement vulnérable nuage, il peut également être déclenchée dans une machine virtuelle.

Dans l'ensemble, cette lacune peut se résumer par une phrase: difficile à détecter.

Daniel Gruss a dit que bien qu'il n'y a pas d'utilisateurs ont signalé avoir été attaqués, mais les chercheurs ne règle pas ce qui va se passer, parce que Toute attaque ne laissera aucune marque ......

Rappelez-vous de mettre à jour

En tant qu'utilisateur ordinaire, il devrait être comment empêcher leurs ordinateurs pour l'attaquer?

TechCrunch, en tant qu'utilisateur normal, en fait, il n'y a pas lieu de paniquer.

Les pirates informatiques ne peuvent pas immédiatement envahir votre ordinateur par le biais de cette vulnérabilité, ont besoin de compétences particulières à l'attaque, à moins que le code compilé dans l'application ou les logiciels malveillants de tout, vous n'avez pas besoin de trop de soucis.

Bien sûr, bon ou des mesures de prévention.

Intel déclaration officielle a déclaré: À propos des données de microarchitecture d'échantillonnage (MDS) les questions de sécurité, nous avons récemment de nombreux produits ont été au niveau du matériel à résoudre, dont plusieurs 8e génération et 9e génération de processeur Intel ® Core, et une deuxième génération Intel ® évolutive gamme de processeurs Xeon. D'un autre produit visé, les utilisateurs peuvent microcode des mises à jour et mettre à jour la combinaison appropriée du système d'exploitation et hyperviseur est publié aujourd'hui pour obtenir la sécurité et de la défense.

À l'heure actuelle, Intel est prêt à réparer le fichier MDS, mais il faut Déployer des patches par différents systèmes d'exploitation . Intel ladite installation de micro-instructions du patch aider à nettoyer le processeur de cache, éviter que des données soient lus.

Apple a déclaré la mise à jour à la dernière version du système d'exploitation et Mac OS Mojave navigateur de bureau Safari contient déjà une solution, afin que les utilisateurs de Mac doivent télécharger les dernières mises à jour sans avoir recours à des opérations supplémentaires.

Google a également dit que le produit récent contient déjà une solution, tant que les utilisateurs navigateur Chrome utilisent la dernière version, est livré avec une vulnérabilité patch.

Microsoft a publié une déclaration préparée, a dit qu'il serait prêt à réparer plus tard aujourd'hui, nous recommandons que Windows 10 utilisateurs de télécharger le patch.

Ces correctifs peuvent être utilisés pour réparer les processeurs Intel vulnérables, y compris Intel Xeon, Intel Broadwell, Sandy Bridge, puces Skylake et Haswell.

TechCrunch est prévu que d'autres entreprises peuvent suivre la préparation du patch.

Par pure coïncidence

Intel toute violation de sécurité, aura une incidence sur des centaines de millions de groupes d'utilisateurs potentiels, avait des failles « soufflé » et « Ghost », a également mis à feu.

Et la portée géographique que la petite.

2017, l'équipe de sécurité de l'information de Google a découvert le premier Project Zero, « prédit exécuté » par la CPU (Speculative exécution) provoque le défaut de puce: le « Specter (fantôme) » et « Meltdown (fusible). »

Ils mènent par défaut de conception d'architecture qui permet programme non-privilégié ordinaire à la mémoire d'accès au système lire des informations sensibles, la vie privée et l'équipement pour mettre les risques de sécurité.

Le registre après les rapports des médias étrangers, l'affaire a provoqué un tollé. Project Zero chercheurs disent ces trois vaste gamme de propagation de faille, publié en 1995, après chaque processeur sera affectée. Et, en plus d'Intel, AMD, les processeurs ARM sont également à risque.

En d'autres termes, que ce soit Windows, Linux, Mac système ou smartphone Android ne sont pas sûrs. Des sources ont également déclaré que si la re-conception de la puce, sinon le risque ne peut être totalement exclu, et les performances se dégradent du système de réparation.

L'année dernière, les processeurs Intel ont trois grands défauts est venu à la lumière, à partir du noyau (de base) autour du PC au Xeon (Xeon) sur le serveur, sont affectés. Les pirates pourraient exploiter ces vulnérabilités pour voler des informations.

Cette vulnérabilité est connue sous le nom L1TF ou L1 Terminal de défaut. Et vulnérabilités bien connue avant que le fusible, comme le spectre d'utilisation sont l'exécution prédit (exécution spéculative) des défauts techniques dans les calculs.

En d'autres termes, le processeur de fonctionner efficacement, il est nécessaire de faire fonctionner l'étape suivante peut être réalisée par une prévision éclairée. Devinée, nous pouvons économiser les ressources, et sur la base de mauvais fonctionnement, il sera devine mis au rebut.

Mais ce processus laissera des indices, comme le temps de traitement requis pour remplir une demande, avec des informations inattendues. Les pirates informatiques de ces indices ont trouvé la manipulation des faiblesses « prédire » le chemin qui, au moment opportun, et appuyez sur les données de processus de fuite des données du cache.

Et cette lacune, vous pouvez utiliser un cache de données L1 nommée, vous pouvez visiter SGX mémoire protégée « enclave. » Ces chercheurs ont également constaté que l'attaque peut être exposée afin que SGX effectuer des contrôles d'intégrité « pour prouver la clé. »

Chaque fois que Intel a été vulnérabilités découvertes, il y aura toujours regarder les commentaires des utilisateurs dans le rapport:

AMD pour savoir?

portail

Enfin, avec une charge de zombies Rapport de recherche:

ZombieLoad: Croix-Privilège Boundary des données d'échantillonnage

https://zombieloadattack.com/zombieload.pdf

- complet  -

recrutement sincère

Qubits recrutent éditeur / journaliste, basé à Zhongguancun de Beijing. Nous attendons de talent, des étudiants enthousiastes de nous rejoindre! Détails, s'il vous plaît interface de dialogue qubit numéro public (QbitAI), réponse mot "recrutement".

qubit QbitAI · manchettes sur la signature de

' « suivre les nouvelles technologies AI dynamiques et de produits

Ordonnée instruits s'appuyait, en montrant Barbara a demandé d'acheter le petit déjeuner, la version masculine de la personne Elle peut soulever le coin d'accord
Précédent
Yang Rong Zhu Yilong rouge paquets à adhésion ouverte sincèrement son invité à voir son spectacle, un homme vraiment bon
Prochain
"légende Hearthstone" service national NGA hebdomadaire: Batman Returns
Qing Zhu Yilong Yangrong cinq années consécutives en tant qu'étudiant, j'étais un véritable ami plus longue, Yang Guo est un enfant
fantaisie gaz Zhu Yilong fracasser les choses, et non sur l'amour et perdu, zyl48 qui était pire?
Un véritable ami chargé d'une conférence son étrange? Lorsque les coupes de l'appareil photo corps Zhu Yilong, qui était elle
Di Xu et Zhu Yilong fit jouer et de chanter, quand il lever le sourire des yeux, la lumière et l'ombre sont trop denses
échelle « Hearthstone légende » TS environnement standard hebdomadaire: voleur rythme forcé hors de la ligne d'assemblage
évaluation épicée ligne de base | bouleversements du marché des capitaux, Huang Jincheng espoir « village »
Véritable ami: Il ne savait pas que vous détestez cilantro que le péché originel, même si dix millions cette pièce ainsi que votre nom, alors quoi?
"World of Warcraft" palais éternel, Maika Gong Action: La nature exclusive des débuts
« World of Warcraft » grand événement la semaine prochaine: riz choc prospère, Delano semaines
Véritable ami: vous venez de perdre un pont Saint-Ange, et elle a perdu le rêve est de faire l'intermédiaire ah
« Hearthstone légende » manipulation du groupe de cartes en direct: 29 May sept SETS - C'est trop une paire de cancer