第二波类似Spectre的CPU安全漏洞将暂时不会被修复

上周发现的一系列类似幽灵的漏洞在至少在未来12天内不会修补。

德国媒体Heise上周透露了八个类似Spectre的漏洞的新闻,现在报道称英特尔希望对这个漏洞的披露至少延期至5月21日。

“英特尔现在正计划在2018年5月21日协调发布。New microcode

更新将于今天发布”,JürgenSchmidt 5月7日报道。

上周,Heise指出,计划协调发布的一位参与者将包括一份Google Project Zero披露,据The Register可以看出,该披露尚未对外发出。

Heise补充说,这个bug影响了自2010年以来使用New microcode的任何Core-i(及其至强衍生品)处理器; 以及自2013年以来基于Atom的处理器(包括Pentium和Celeron)。

新数据泄露Spectre CPU设计缺陷令人惊骇,难倒Intel

Schmidt报道说,如果披露和补丁都在5月份一同发布,他们将无法完成英特尔对这些漏洞的修复。为了保护VM主机免受来自客户端的攻击,还需要进一步补丁(暂定于第三季度发布)。

除了来自英特尔的微代码修补程序外,操作系统级修补程序也是必要的。

自从原来的熔断和幽灵漏洞在1月份得到证实以来,很明显,一段时间以来投机性执行一直对研究人员有利。

我们在2018年1月注意到,研究人员Anders Fogh在2017年7月撰写了关于滥用投机执行的文章,并且在幽灵/熔断故事在1月份爆发后不久,德国研究团体CISPA的研究人员Giorgi Maisuradze和Christian Rossow 发表了对投机执行的根据2017年的工作分开对崩溃/幽灵研究广泛分析。

今年4月,英特尔表示,一些老旧架构中的一些Specter缺陷是无法解决的。

Vulture South要求英特尔对Heise报告发表评论,并收到一则无回复的消息,称非常非常认真地与需要帮助解决问题的任何人合作。“我们深信协调披露的价值,并会在我们确定缓解措施时就任何潜在问题分享更多细节,”该公司表示。“作为最佳实践,我们继续鼓励每个人把系统升级到最新状态。”

  • 发表于:
  • 原文链接http://www.theregister.co.uk/2018/05/09/spectre_ng_fix_delayed
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券