不到一年,英特爾(Intel)第三次揭露一系列與處理器推測性執行功能相關的新漏洞。27 日英特爾表示,將在「未來幾週」發布軟體更新,修復另外兩個微架構資料取樣(Microarchitectural Data Sampling,MDS)或稱「殭屍負載」(Zombieload)安全漏洞。這是去年 5 月和 11 月分別發布兩個修補程式之後,釋出的最新更新修補程式。
與英特爾之前兩個修補程式處理的 MDS 漏洞相比,最新漏洞本身會有一些限制。首先,其中一個漏洞,亦即第一級快取資料回收取樣(L1 Data Eviction Sampling,L1DES)漏洞,對英特爾最新晶片不會造成影響。再者,駭客不能透過 Web 瀏器發動攻擊。英特爾另外表示,目前尚不確定是否有在實驗室之外利用這些漏洞發動攻擊的實例。
然而,就像去年 11 月發布第二回 MDS 修補程式時,安全研究人員對英特爾這種「頭痛醫頭、腳痛醫腳」的做法多有批評。「我們花了幾個月試圖說服英特爾,L1DES 漏洞引發的資料外洩有可能,所以必須盡快解決。」發現此漏洞的國際電腦科學家團隊在網站寫道。「我們重申 RIDL(Rogue In-Flight Data Load)類型漏洞的修補或緩解十分重大,目前解決這些問題的『發現漏洞』緩解策略有問題。」研究人員寫道:「此外,我們質疑整整一年資訊揭露過程的有效性,並對學術過程的破壞性影響感到擔憂。」
刻意淡化批評的同時,英特爾表示已採取重大措施,以降低這些漏洞對處理器可能造成的風險。「從 2019 年 5 月的 MDS 漏洞開始,再到 11 月的 TSX 異步中止(TSX Asynchronous Abort,TAA)漏洞,我們和系統軟體合作夥伴已發布相應緩解措施,逐漸顯著減少這類問題的整體攻擊面,」發言人指出:「我們持續在內部展開這方面研究,並與外部研究機構合作。」
(首圖來源:shutterstock)
