商业
您现在的位置:首页 > 商业 > 英特尔芯片的新缺陷使攻击者可以将自己的数据滑入安全的区域
  • 营销与经营深度一体,巨量引擎助力品牌撬动全渠道增长

    营销与经营深度一体,巨量引擎助力品牌撬动全渠道增长

    发布时间:2024/01/30

    过去十年,中国企业在数字营销上的投入快速增长。根据eMarketer的数据,2023年国内数字广告的投入将达到1361亿美元,增长14.8%。数字营销已经成为品牌方最大的经营成本之一。面对如此巨大的投入,品牌方的管理层...

  • 门窗行业复刻定制家居高光时刻,森鹰窗业上市成起点?

    门窗行业复刻定制家居高光时刻,森鹰窗业上市成起点?

    发布时间:2022/09/25

    据悉,9月26日,森鹰窗业股份有限公司(以下简称森鹰窗业)将举办上市敲钟仪式,正式登陆深交所。 森鹰窗业是目前沪深两市第一家细分行业为“C2032木门窗制造”的上市公司。 这让笔者不禁想起2011年定制家居行业首...

  • 2022年最热高端盘天坛府·九阙成首个“国脉典藏豪宅样本”

    2022年最热高端盘天坛府·九阙成首个“国脉典藏豪宅样本”

    发布时间:2022/07/25

    2022年7月15日“九阙央座,盛赋天坛”《国脉典藏豪宅样本》发布会现场,北京房协秘书长/高品质住宅综合测评中心创始人陈志先生、中国建筑北京设计研究院原副院长/总建筑师董少宇先生、攸克地产/豪宅一号出品人殷苏峰...

  • 杰尼亚集团将成为纽约证券交易所上市公司

    杰尼亚集团将成为纽约证券交易所上市公司

    发布时间:2021/07/20

      2021年7月19日,意大利米兰——享誉全球的意大利奢侈品企业杰尼亚集团(下简称“杰尼亚”“该集团”或者“该公司”)与意威基金Investindustrial七期基金旗下的特殊目的收购公司InvestindustrialAcquisitionCorp.(...

  • 浑水协助Wolfpack做空爱奇艺(IQ.US) 看空报告全文来了

    浑水协助Wolfpack做空爱奇艺(IQ.US) 看空报告全文来了

    发布时间:2020/04/08

    本文来源“腾讯网”。 划重点:1.两家中国广告公司向我们提供了爱奇艺(IQ.US)后端系统的数据,这些数据显示,从2019年9月开始,爱奇艺的实际移动DAU比该公司在2019年10月宣称的1.75亿平均移动DAU低了60.3%。2.大约3...

  • 华尔街大佬巴鲁克:特斯拉(TSLA.US)目标股价达600美元,仍有18%上行空间

    华尔街大佬巴鲁克:特斯拉(TSLA.US)目标股价达600美元,仍有18%上行空间

    发布时间:2020/04/08

    本文来自“腾讯证券”。 在券商杰富瑞(Jefferies)将特斯拉评级从“持有”上调到“买入”后,特斯拉(TSLA.US)在周一收盘上涨逾7.5%。上周五,特斯拉也因公司第一季度业绩强劲而迎来上涨。数据显示,该公司第一季度共...

  • 不满足于流媒体业务,亚马逊也要开始做游戏了

    不满足于流媒体业务,亚马逊也要开始做游戏了

    发布时间:2020/04/08

    本文来源“36氪”。为了在统治数字娱乐的战役中开辟新战线,Amazon(AMZN.US)正在投入数亿美元以成为视频游戏的领先制作商和发行商。由于卫生事件的影响数度推迟之后,这家互联网巨头表示,打算在5月发布其首款原创...

  • 刘强东“熔断”,徐雷成为京东的新“保险丝”

    刘强东“熔断”,徐雷成为京东的新“保险丝”

    发布时间:2020/04/08

    本文来自“盒饭财经”。公共卫生事件笼罩世界,全球经济遭遇重创,金融市场难以幸免,“熔断”一词频繁走入人们视野中。 作为在美股上市的企业,京东(JD.US)最近的日子也不太好过。瑞幸造假事件曝出后,京东“二号人...

英特尔芯片的新缺陷使攻击者可以将自己的数据滑入安全的区域

发布时间:2020/03/11 商业 浏览次数:618

 
英特尔芯片上的一个新漏洞可能使攻击者不仅可以查看通过系统的特权信息,而且还可能插入新数据。该漏洞并不是普通用户不必担心的,但是就我们信息安全的威胁而言,这只是时代的标志。
您可能对Meltdown,Spectre和Heartbleed熟悉,它的名称明显不那么吸引人:负载值注入或LVI。它是由BitDefender和由Jo Van Bulck领导的多大学小组独立发现的。
该漏洞的确切技术细节(如此处所述)不是普通用户会理解或无法修复的任何内容。但是,您应该了解以下内容:LVI是缺陷的一般类别,与大多数现代计算体系结构所使用的称为“投机执行”的技术有关。
推测性执行有点像,如果有人开始相当缓慢地在黑板上写数学问题,您就决定以可能解决的10种方式抢先解决问题。这样,当老师完成问题的写作后,您就可以准备好答案,而只需放弃其他答案即可。当然,处理器也以更为复杂和规范的方式执行此操作,即使用空闲周期来推测性地执行各种计算。
最近,这种处理的安全性不足,因为它可以通过仔细探查和探寻芯片最深层的代码来获得通常被高度保护和加密的数据。但是,尽管Meltdown和Spectre打算强迫泄漏并收集数据,但LVI却更进一步,让攻击者在过程中放置​​新值,以便他们可以干扰甚至控制结果。而且,这是在“ SGX Enclave”内部进行的,“ SGX Enclave”旨在成为一个坚不可摧的子系统,可以信任该子系统的安全性。 (要清楚,这远不是随意执行代码,而是一种操纵此表面上安全的通道的新有效方法。对本段进行了略微更新以使其更加清楚。)
这些过程在计算机的许多代码和执行层中是如此深入,以至于无法说出它们的用途。最安全的假设是,从根本上来说,让攻击者用自己的安全值替代某些安全值是整个事情都受到了损害。
当然有缓解措施,但是它们可能严重影响芯片的性能。不过,必须将它们放置在任何存在此缺陷的裸露芯片上-这几乎是去年之前推出的任何现代Intel芯片。
英特尔本身非常了解此问题,实际上,它发布了长达30页的LVI技术摘要以及它所支持的各种特定攻击。但是,一开始要特别注意,这不是广泛部署的事情:
该论文读到:“由于成功实施LVI方法必须满足众多复杂的要求,因此LVI在现实环境中不是实际的利用方法。”
这就是为什么您不必为此担心的原因。一个简单的事实是,您可能不是理想的攻击目标。这很难实现,作为一个人,您最好通过传统手段(网络钓鱼等)或在数据中心级别批量收集数据来获得数据。因此,重要的不是您要尽快更新PC,而是拥有并运行数百万服务器的公司。
但是,即使那样,也可能是没有公开曝光的系统或多或少没有能力被攻击者访问,即使它们被攻击,它们也可能无法处理任何值得掌握的数据。因此,最终要由这些公司来决定他们的优先级,然后由像英特尔这样的芯片制造商来设计未来的芯片和架构,而没有像LVI和其他内置缺陷那样的缺陷。当然,考虑到这些复杂性,这很难做到。系统,但确实如此。