研究人員表示,英特爾和AMD的微處理器都存在安全漏洞,這與幾年前震驚整個計算機行業的Spectre/Meltdown漏洞不同。來自蘇黎世聯邦理工學院的兩名研究人員、一名博士生JohannesWikner和一名計算機安全教授KavehRazavi表示,發現的漏洞允許濫用者訪問內核內存,鑒于漏洞的性質,修復它也意味著減慢芯片速度.
該漏洞被稱為Retbleed,圍繞芯片的投機計算展開。研究人員說:“當計算機執行特殊計算步驟以加快計算速度時,它們會留下黑客可能濫用的痕跡。”
研究人員進一步發現,這些痕跡可以被利用,使威脅行為者未經授權訪問目標端點中的任何信息(在新標簽中打開),其中包括加密密鑰、密碼和其他機密。
研究人員進一步表示,該漏洞在云環境中特別危險,在云環境中,多家公司共享相同的系統。換句話說,一個漏洞可能會暴露多家公司的秘密。
研究人員感到遺憾的是,位于瑞士伯爾尼的國家網絡安全中心認為該漏洞很嚴重,因為受影響的處理器正在全球范圍內使用。
“我們已經證明,通過投機執行,特別大量的return語句很容易受到攻擊并且可能被劫持,”Wikner說。原則上,“Retbleed”的工作方式類似于“Spectre”的變體2,并影響Intel和AMD微處理器。
“由于迄今為止采取的緩解措施沒有考慮到返回指令,大多數現有的微處理器計算機系統都容易受到‘Retbleed’的影響,”Razavi補充道。“然而,獲得內存訪問和竊取信息需要一些計算機專業知識,”Wikner說。
一線希望是,雖然較舊的芯片可能更容易受到攻擊,但較新的架構使得消除這些攻擊有些困難。盡管如此,解決問題意味著影響設備的性能。
“Retbleed的補丁開銷將在13%到39%之間,”兩位研究人員說。“緩解PhantomJMP的開銷為106%(即慢2倍)。”
Retbleed被跟蹤為AMD的CVE-2022-29900,以及Intel的CVE-2022-29901和CVE-2022-28693。CVE-2022-23816和CVE-2022-23825也被指定為AMD的Retbleed。
在與TechRadarPro分享的一份聲明中,英特爾表示:“英特爾與我們的行業緩解合作伙伴、Linux社區和VMM供應商合作,向客戶提供緩解措施。Windows系統不受影響,因為它們默認已經擁有這些緩解措施。”