微软和英特尔就 windows 11、10 上的 mmio stale data 漏洞发出警告-凯发k8一触即发

英特尔和微软发布了有关影响处理器的新 cpu 列表的最新安全公告。这些安全漏洞与 cpu 的内存映射 i/o (mmio) 有关,因此统称为“mmio 陈旧数据漏洞”。威胁者在成功利用易受攻击的系统后,可以读取受感染系统上的特权信息。

微软在其安全中描述了潜在的攻击场景如何展开:

成功利用这些漏洞的攻击者可能能够跨信任边界读取特权数据。在共享资源环境中(例如存在于某些云服务配置中),这些漏洞可能允许一台虚拟机不正确地访问另一台虚拟机的信息。在独立系统上的非浏览场景中,攻击者需要事先访问系统或能够在目标系统上运行特制应用程序以利用这些漏洞。

这些漏洞被称为:

  •  – 共享缓冲区数据读取 (sbdr) 
  •  – 共享缓冲区数据采样 (sbds)
  •  – 特殊寄存器缓冲区数据采样更新(srbds 更新)
  •  – 设备寄存器部分写入 (drpw)

mmio 使用处理器的物理内存地址空间来访问像内存组件一样响应的 i/o 设备。英特尔在其安全中更详细地描述了如何使用 cpu 非核心缓冲区数据来利用该漏洞:

处理器 mmio 陈旧数据漏洞是一类内存映射 i/o (mmio) 漏洞,可以暴露数据。当处理器内核读取或写入 mmio 时,事务通常使用不可缓存或写入组合的内存类型完成,并通过 uncore 进行路由,uncore 是 cpu 中由物理处理器内核共享的逻辑部分,并提供多种公共服务. 恶意行为者可能使用非核心缓冲区和映射寄存器从同一物理核心内或跨核心的不同硬件线程泄漏信息。

[…] 这些漏洞涉及导致陈旧数据被直接读取到架构、软件可见状态或从缓冲区或寄存器中采样的操作。在某些攻击场景中,陈旧的数据可能已经驻留在微架构缓冲区中。在其他攻击场景中,恶意行为者或混淆的代理代码可能会从微架构位置(例如填充缓冲区)传播数据。

根据微软的说法,以下 windows 版本受到影响:

  • windows 11
  • windows 10
  • windows 8.1
  • windows服务器 2022
  • windows服务器 2019
  • windows服务器 2016

同时,linux 已经针对

下图给出了受影响的 cpu 列表及其各自的缓解措施:

受影响的 cpu 型号的完整列表可以的 2022 部分的此页面上找到。

原创文章,作者:校长,如若转载,请注明出处:https://www.yundongfang.com/yun172829.html

(0)
打赏 微信扫一扫不于多少! 微信扫一扫不于多少! 支付宝扫一扫礼轻情意重 支付宝扫一扫礼轻情意重
上一篇 2022年6月17日
下一篇 2022年6月17日

相关推荐

  • 被黑客利用的windows dos到nt路径转换过程

    safebreach 安全研究员 or yair 最近公布了 windows dos 到 nt 路径转换过程中的一系列漏洞,这些漏洞可能允许攻击者在不需要管理权限的情况下获得类似 …

    2024年4月25日
  • google chrome 120 更新修复了 9 个安全问题

    几个小时前,谷歌发布了其chrome网络浏览器的每周安全更新。chrome 稳定版和 chrome 扩展稳定版的更新修复了浏览器中的 9 个独特的安全问题。由于这是一个点更新,因此…

    2023年12月13日
  • 许多商用计算机容易受到一组漏洞的影响,这些漏洞利用了启动期间处理启动徽标时的缺陷。 安全研究人员二进制已披露计算机制造商在启动过程中使用的系统固件中的安全漏洞。该漏洞会影响基于 x…

    2023年12月10日
  • google 针对 macos、windows 与 linux 平台上的 chrome 浏览器发布了一项关键安全更新。 该更新旨在修补一个已被发现可被利用的 zero day 漏洞…

    2023年12月1日
  • ai 编程工具 codewhisperer是什么?可检测代码中存在的漏洞

    亚马逊在去年 6 月推出了 ai 编程工具 codewhisperer 的预览版,而在今日的“aws re:invent 2023”活动中,亚马逊公布了 codewhisperer…

    工具软件 2023年11月29日
  • google for startups今天推出了一项新计划google ai for cybersecurity,以帮助网络安全初创公司成长。与此同时,到135年,基于人工智能的网…

    2023年10月17日
  • intel正式发布thunderbolt 5连接3台144hz 4k屏幕

    intel 于本周二正式发布了 thunderbolt 5,这是一个全新版本的连接标准,将为消费者带来增加显示支持和双倍的速度。   宽带为 thunderbolt 4 …

    2023年9月13日
  • 开放 web 应用程序安全项目 (owasp) 是一个致力于提高软件安全性的非营利组织。owasp成立于2001年,提供各种资源,包括文档,工具和方法,旨在识别和缓解web应用程序…

    工具软件 2023年9月4日
  • 根据诺顿的说法,英国的普通人每周会收到大约 10 次以短信、电子邮件或电话形式进行的诈骗尝试。valimail早些时候的一份报告显示,每天发送约3亿封欺骗性电子邮件。无论在线诈骗来…

    2023年8月11日 工具软件
  • intel放弃使用core i品牌引入ultra称消费者误为i是iphone

    在 wwdc 上推出 mac pro 及 m2 ultra 处理器后,苹果已经完全将整个 mac 系列从 intel 处理器过渡到 apple silicon。 而今天,intel…

    2023年6月16日
  • chatgpt 的开发商openai 今日宣布实施程式漏洞悬赏计画,鼓励使用者回报该公司旗下ai 系统的漏洞,每个漏洞赏金自200 美元起,至最高2 万美元。 但要注意的是,这项计…

    2023年4月12日
  • surface laptop studio 2 (rtx 4060) 是下一个强大的微软硬件

    图片提供:微软 根据 windows latest 看到的新基准​​,surface laptop studio 2 的继任者可能会在今年晚些时候推出,并推动重大的硬件升级。sur…

    2023年4月10日
  • intel arc graphics 显示出 linux 工作站 opengl 性能的良好潜力

    我通过最新的开源驱动程序重新审视了intel arc graphics linux 游戏性能。由于英特尔“anv”开源 vulkan 驱动程序的当前限制以及其他游戏中的一些 vul…

    2023年3月26日
  • 我们都知道微软的操作系统远非100%安全,这家科技巨头正试图每月修复数十个甚至数百个漏洞。 例如,本月,这家科技公司解决了75个cve,其中一些在野外被积极利用。 现在,用户发现了…

    2023年3月22日
  • 英特尔的开源 linux 计算堆栈非常适合 arc graphics

    从 12 月初到 2 月下旬,该开源堆栈没有新的计算运行时更新,用于为 linux 上的英特尔图形硬件提供 opencl 和 oneapi 零级支持。这是不合时宜的,因为他们努力从…

    2023年3月14日 最新资讯
  • 为 mesa 23.1 启用的 intel meteor lake 图形 id

    对英特尔下一代meteor lake客户端处理器 的开源 opengl 和 vulkan 支持向前迈进了一步。从今天开始,在 mesa 23.1-devel 中,meteor la…

    2023年3月14日
  • 点击进入:chatgpt工具插件导航大全 一些网络安全企业透露他们开始或计划在网络安全中使用 chatgpt ,一些研究人员已经发现了聊天机器人的实际应用。 orca 公司是最早宣…

    工具软件 2023年3月12日
  • 英特尔奔腾:快速回顾具有里程碑意义的 pc 处理器 30 周年

    在我们现在拥有拥有大量内核、超高时钟速度和集成显卡的 cpu 的时代,回顾真正成为个人计算机行业革命的处理器是一件很有趣的事情。我们谈论的是 30 年前的这个月,也就是 1993 …

    2023年3月12日
  • iphone 被广泛认为是一款无处不在的智能手机,为用户提供了与计算机类似的大量功能。然而,网络犯罪分子通常以智能手机(包括iphone)为目标,以提取敏感数据和个人信息。鉴于在旅…

    2023年3月9日 苹果apple
  • linux 6.3-rc1 带来文件系统优化、hid-bpf 以及更多英特尔和 amd 功能

    点击进入:chatgpt工具插件导航大全 linux 6.3 的合并窗口现已结束,linus torvalds 刚刚发布了 linux 6.3-rc1。 linux 6.3 将成为…

    2023年3月6日
  • 最新的 system76 英特尔笔记本电脑已添加到 coreboot

    点击进入:chatgpt工具插件导航大全 lemur pro 11 – 笔记本电脑可选择 core i5 1235u 或 core i7 1255u 处理器、各种存储选…

    2023年3月5日
  • windows 已停止此设备,因为它报告了蓝牙错误代码 43 的问题

    点击进入:chatgpt工具插件导航大全 我们与计算机一起使用的设备之一是蓝牙设备,它可以是外部或内部设备。最新的系统将蓝牙设备集成到其主板中。除此之外,我们还可以使用蓝牙键盘或鼠…

    2023年2月28日 工具软件
  • 点击进入:chatgpt工具插件导航大全 近年来,microsoft windows用户已使用microsoft phone link应用程序将手机连接到pc。然而,去年 9 月,…

    2023年2月20日 微软microsoft
  • 用户使用家庭和小型办公室 wi-fi 网络中常用的预共享密钥 (psk) 通过无线网络将其设备连接到网络。但是,用户报告错误消息不正确的 psk 为网络 ssid 提供,指示您输入…

    2023年2月20日 技术教程
  • 点击进入:chatgpt工具插件导航大全 在使用网络适配器时,您可能会意外地从计算机中删除唯一有效的网络适配器驱动程序。那么,该怎么办呢?如果您没有外部wifi适配器,您甚至无法使…

    2023年2月18日 微软microsoft
网站地图