安全研究人员表示，英特尔解决硬件缺陷方面仍存在不足

本篇文章1053字，读完约3分钟

华云。几个月来，英特尔一直在努力修复其芯片中可能泄露个人电脑或服务器机密数据的硬件缺陷。然而，安全研究人员表示，英特尔在解决这些问题方面仍有不足之处。

周二，两组独立学者表示，他们可以使用第九代英特尔级联湖来处理芯片缺陷，据说这是为了防止此类攻击。

阿姆斯特丹自由大学vusec小组的研究人员说:“不幸的是，除非有足够的行业压力，否则英特尔似乎没有动力改变目前的状况，这给公众一种虚假的安全感。”

这个问题包含两个基于硬件的缺陷，它们被称为zombieload和ridl。

今年5月，研究人员揭露了这些漏洞，并警告说，它们可能被用来从人们的电脑中获取敏感信息，如浏览器历史数据和密码。这可以通过一个恶意软件，甚至一些运行在个人电脑浏览器上的java代码来实现。

当时，英特尔称其第八代和第九代芯片就是为了抵御这一漏洞而制造的。但周二，发现僵尸网络漏洞的研究团队表示，他们已经开发出一种类似攻击的新变种，可以绕过英特尔的保护。

同一天，研究人员声称他们发现现有版本的ridl攻击从未被英特尔完全修复，尽管他们在2018年9月告诉了英特尔此漏洞。

该研究人员在一篇博文中写道:“2019年10月25日，我们测试了英特尔最新的微码更新，但仍然发现了漏洞。”。

这些缺陷继续困扰着英特尔处理器，因为它们涉及公司芯片内部的架构。为了加快速度，英特尔处理器被设计成在系统运行时预测计算指令，但这是有代价的。

根据安全研究人员的说法，你可以使用同样的欺骗手段在泄露机密数据之前从机器中获取机密数据。

2018年1月，安全研究人员称第一批漏洞为“崩溃”和“幽灵”，并警告称，它们可能从本质上打破保护一个软件进程不访问另一个软件进程的壁垒。

Zombieload和ridl漏洞可以通过从cpu的内部缓冲区泄漏数据来达到同样的效果。

作为回应，英特尔承认目前的解决方案并不完美，一些数据仍将被泄露。

不过，英特尔表示，现有的保护措施仍然可以减少潜在的攻击面，未来还会有更多的补丁。

英特尔表示:“我们不断改进现有技术来解决这些问题，并感谢与英特尔合作的学术研究人员。”

好消息是，安全社区没有遇到任何利用这些漏洞的黑客。事实上，网络罪犯更容易使用传统的恶意软件来控制计算机，而不是设计攻击来掠夺计算机的cpu。

但是不要指望英特尔很快就能完全解决这些缺陷。

Vusec的研究人员表示:“如果处理器变得如此复杂，以至于芯片供应商无法控制其安全性，那么硬件漏洞将成为复杂攻击者的新猎场。”我们不知道有多少硬件漏洞等待被破解。”