5月14日,英特尔披露了影响旗下诸多英特尔微处理器系列的四个新安全漏洞。 官方命名为“微架构数据采样漏洞( Microarchitectural Data Sampling ,简称MDS)”。
漏洞发现者将MDS包含的三种类型的漏洞分别命名为“僵尸装载( ZombieLoad )”、“放射性浮尘( Fallout )”和“飞行中的数据流氓( Rogue in-flight Data Load )”。 不过随后很快发布了缓解这些漏洞的安全升级,但并非所有处理器系列都得到了修补。
Debian项目团队于近日发布了针对英特尔微代码固件的新安全更新,以修复近期披露的英特尔MDS(微架构数据采样)漏洞。
MDS漏洞
MDS安全漏洞基于侧信道 攻击的原理 ,使得恶意进程能够从同一CP U 核心上运行的另一个进程那里读取数据(涉及在 CPU 内核中使用的缓冲区)。因为数据不会在进程切换时被清除,恶意进程可以推测性地从所述缓冲区中采样数据、知晓其中的内容、从同一CPU内核上执行的另一个进程中读取数据。
据悉,当在内核和用户空间、主机和客户机、或两个不同的用户空间进程之间进行切换时,就有可能发生这种情况。 这几个漏洞分别为 :
漏洞影响范围
英特尔随后发表声明称,关于MSD的问题,很多产品已经在硬件层面得以解决,包括很多第8代和第9代 英特尔 酷睿处理器、以及第2代英特尔至强可扩展处理器系列。
对其它受影响的产品,用户可以通过微代码更新、并结合今天发布的相应操作系统和虚拟机管理程序的更新获取安全防御。
受影响产品列表如下:
新版英特尔微代码固件
为此 Debian 项目已经发布了新版英特尔微代码固件,以缓解英特尔MDS(微架构数据采样)硬件漏洞。
Moritz Muehlenhoff 在邮件列表公告中表示:“本次升级为部分Sandybridge服务器和Core-X CPU提供了额外的支持,这些在最初5月更新的微代码固件更新中没有涉及。”在公告中他还提及了本次更新已经修复的CPU型号列表。
防范措施
建议所有已知的计算机操作系统(含 Windows、 Linux 、Mac、BSD 等)用户,均在第一时间部署安装新的固件更新。
在某些 Linux 发行版上 (Canonical、Red Hat 等),用户不仅需要更新英特尔的微代码固件,还需要安装相应的 Linux 内核与 QEMU 软件包,才能充分缓解新曝光的安全漏洞的影响。
如果您正在运行最新的 Debian GNU / Linux 9“Stretch” 操作系统系列,Debian项目建议您尽快将 Intel-microcode 固件更新到版本 3.20190618.1~deb9u1 并安装最新的Linux内核上个月发布的更新,以充分缓解这些缺陷。
要更新 Debian GNU /Linux 计算机,您只需打开终端模拟器或访问控制台并键入 “sudo apt-get update&& sudo apt-get full-upgrade” 命令。
来源:cnBeta.COM
:warning: 注意
2019 看雪安全开发者峰会门票正在热售中!
长按识别下方 二维码 , 即可享受 2.5折 优惠!
往期热门回顾
﹀
﹀
﹀
公众号ID:ikanxue
官方微博:看雪安全
商务合作:wsc@kanxue.com
点击阅读原文,了解更多!
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
JavaScript
Douglas Crockford / Yahoo Press / 2008-5 / GBP 23.99
Most programming languages contain good and bad parts, but JavaScript has more than its share of the bad, having been developed and released in a hurry before it could be refined. This authoritative b......一起来看看 《JavaScript》 这本书的介绍吧!
