不久前让整全行业紧张、全球用户恐慌的Spectre幽灵、Meltdown熔断两大漏洞事件刚刚告一段落了,那么这两个漏洞到底是什么?可能还有很多人不是很清楚,想了解的朋友跟着小编来看看吧。

Intel近日官方宣布,已经为过去五年的所有CPU处理器产品打上了漏洞补丁,并且将在下一代产品中重新设计硬件,天然免疫漏洞。至此,闹得沸沸扬扬的Spectre幽灵、Meltdown熔断两大漏洞事件可以说告一段落了,那么,这俩让整全行业紧张、全球用户恐慌的漏洞到底是什么呢?

 

为了方便用户了解,Intel放出一段视频,通俗地对漏洞作了一番科普。

首先,幽灵、熔断漏洞是Google Project Zero团队发现的三个安全漏洞变体1的统称,其中漏洞变体1与变体2是幽灵漏洞的不同方面,因为它们都是通过欺骗方式执行的,而幽灵是《007》电影中与詹姆斯·邦德对抗的组织的名称。

漏洞变体3就是熔断漏洞,因为它可以有效地“熔断”处理器的安全防护。

这里我们以漏洞变体2来举例说明。

它利用了计算机的一项重要特性,即预测执行(speculative execution)。预测执行可以加强CPU的速度与性能,在CPU实际发出请求之前,就预测CPU可能执行的任务。

预测执行功能就像是一个探路员,运行在CPU的众多其他功能和能力之前。它的目标是通过预先探索CPU的各种可能任务,为整个系统加速。

想象一下当我们的探路员走到半路,遇到一个多岔路口的情况:一个引导员突然出现,指挥它走一条特定的路线。

但不幸的是,那个引导员其实是个坏人,是通过恶意程序进入的系统。 

随着我们通过路口,这个坏人偷偷地将自己绑在探路员身上,那么他就可能看到我们的探路员在这部分路途中看到的一部分东西,包括隐私信息。

最终,探路员会发觉自己走了一条错误的路,然后回到最初的岔路口,重回正轨,但那时,坏人可能已经获取了自己想要的信息。

Intel已经设计出一组新的CPU硬件功能,与操作系统协作,创造虚拟栅栏,保护系统与其中保存的数据免受这种运用预测执行方法的攻击

在我们刚刚举的例子里,它可以让潜在的引导员,或者说坏人,完全远离计算机的决策进程,无法影响探路员所走的路线。

结果就是,这种解决方案既可以保留预测执行的众多益处,又能同时解决漏洞变体2的威胁。

    无相关信息
最新资讯
一图看懂国内5G政策:推动5G产业全方位发展

一图看懂国内5G政策:推

5G商用一周年,一起看看国内5G政策都有哪些!
中国电信王国权:预计三季度末将开通5G基站超30万个

中国电信王国权:预计三

中国电信副总经理王国权表示,预计在三季度末,将开通5G基
历史转折中的OPPO:新上任的刘波如何操盘中国市场?

历史转折中的OPPO:新上

刘波给出的思路仍是OPPO似乎不变的传统论调:坚持做正确
5G手机普及战打响!价格降至1500元、靠设计圈粉……

5G手机普及战打响!价格

5G手机价格下探速度比想象中来得更快了一些。
报告称网络水军有组织散播“新冠病毒中国造”谎言

报告称网络水军有组织

研究表明,阴谋论在推特上的传播就像是一场协调的网络水
官方调查显示:美国人真的会喝消毒剂防新冠!

官方调查显示:美国人真

为了预防和治疗新冠,普通美国人真的会乱用消毒剂,包括用
最新文章
CPU幽灵和熔断漏洞是什么?Intel为大家简单易懂的科普了一番

CPU幽灵和熔断漏洞是

不久前让整全行业紧张、全球用户恐慌的Spectre幽灵、M
解析文件上传漏洞 从FCKEditor文件上传漏洞谈起

解析文件上传漏洞 从F

大部分的用户可能不要了解文件上传漏洞,下面小编就为大
手把手教你如何构造Office漏洞POC(以CVE-2012-0158为例)

手把手教你如何构造Of

近年来APT追踪盛行,最常见的就是各种以钓鱼开始的攻击
漏洞 自动化脚本 论漏洞和自动化脚本的区别

漏洞 自动化脚本 论漏

漏洞无处不在,它是在硬件、软件、协议的具体实现或系统
Python 爬虫修养-处理动态网页

Python 爬虫修养-处理

在爬虫开发中,大家可以很轻易地 bypass 所谓的 UA 限制
黑客通过Paypal可传输恶意图像

黑客通过Paypal可传输

PayPal解决了一个可被黑客用来向支付页面插入恶意图像