文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

AMD、英特尔同时曝出处理器高危漏洞

2024-11-30 05:26

关注

AMD处理器的漏洞可导致Linux虚拟机遭受黑客攻击,而英特尔处理器的漏洞则影响其全线产品和架构,并可能给云计算厂商带来巨大损失。

AMD CachWarp漏洞可导致Linux虚拟机被黑客攻击

AMD本周三发布安全公告,称在部分处理器的INVD指令中发现了CacheWarp漏洞,可能会导致SEV-ES和SEV-SNP(安全加密虚拟化安全嵌套分页)客户虚拟机内存完整性丢失。

该漏洞可让恶意攻击者破解受AMD SEV保护的虚拟机,提升权限并获得远程代码执行。

AMD表示:“某些AMD CPU中INVD指令的错误或意外行为可能会让使用恶意管理程序的攻击者操纵CPU的缓存行写回行为,从而破坏客户虚拟机内存的完整性。”

CacheWarp漏洞仅影响以下支持SEV的AMD处理器:

根据AMD的通报,该问题不会影响AMD第四代“Genoa”EPYC处理器(Zen4微架构),但第一代或第二代EPYC处理器没有缓解措施,因为其SEV和SEV-ES功能缺乏对访客VM内存的保护功能,而且SEV-SNP功能不可用。

尽管如此,对于使用启用了SEV-SNP功能的AMD第三代EPYC处理器的客户,AMD已发布了可热加载的微码补丁和更新的固件映像(该补丁不会导致任何性能下降)。

英特尔Reptar高危漏洞可给云计算厂商带来巨大损失

英特尔近日宣布修复了其台式机、服务器、移动和嵌入式CPU中的一个高严重性洞(CVE-2023-23583),影响最新的Alder Lake、Raptor Lake和Sapphire Rapids微架构。

发现该漏洞的谷歌安全团队将其命名为Reptar,称其为“冗余前缀问题”。攻击者可以利用该漏洞来升级权限、获取敏感信息的访问权限或触发拒绝服务状态(这对于云提供商可能意味着巨大损失)。

英特尔发现,在某些微架构中执行使用冗余REX前缀编码的指令(REP MOVSB)可能会导致不可预测的系统行为,从而导致系统崩溃/挂起,在某些情况下,可能会导致从CPL3到CPL0的特权提升。

安装了受影响处理器的特定系统(包括使用Alder Lake、Raptor Lake和Sapphire Rapids的系统)已在2023年11月之前收到更新的微代码,没有观察到性能影响或预期问题。

英特尔还发布了微代码更新来解决其他CPU的问题,建议用户更新其BIOS、系统操作系统和驱动程序,以便从OEM制造商、操作系统供应商虚拟机管理程序供应商获取最新的微代码。

受CVE-2023-23583漏洞影响的Intel CPU的完整列表和缓解指南地址如下:

https://www.intel.com/content/www/us/en/developer/articles/technical/software-security-guidance/advisory-guidance/redundant-prefix-issue.html

英特尔建议用户尽快将受影响的处理器更新到上述处理器表中列出的微代码版本,以缓解这种冗余前缀问题,操作系统厂商也会尽快提供包含此新微代码的更新。

来源:GoUpSec内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯