谷歌安全研究人員近日發(fā)現(xiàn)了一個新的 CPU 漏洞，影響英特爾臺式機、移動設備和服務器 CPU。

這個被稱為“ Reptar ”（CVE-2023-23583）的漏洞是谷歌研究人員今年迄今為止披露的第三個主要CPU漏洞，其次是 Downfall（CVE-2022-40982）和Zenbleed（CVE-2023-20593），影響了英特爾和 AMD CPU 分別。

圖片

根據(jù)谷歌發(fā)布的博客文章，Reptar 源于 Intel CPU 解釋冗余前綴的方式。

前綴通過啟用或禁用某些功能來修改 CPU 指令行為。通常，冗余前綴會被忽略。然而，Reptar 允許攻擊者利用 CPU 處理冗余前綴的方式繞過 CPU 的安全邊界。

此漏洞的安全波及的范圍巨大。研究人員證明，Reptar 可以在云和數(shù)據(jù)中心常見的多租戶虛擬化環(huán)境中被利用，導致主機崩潰并導致共享主機的其他Guest機器拒絕服務。還存在信息泄露或特權(quán)升級的可能性。

Reptar 是谷歌今年披露的第三個備受矚目的 CPU 漏洞。8 月，研究人員披露了 Downfall，它通過濫用 CPU 的特權(quán)環(huán)來繞過用于安全的沙箱技術(shù)，從而影響了 Intel CPU。幾周后，谷歌公布了有關(guān) Zenbleed 通過利用處理器內(nèi)核之間的延遲消息影響 AMD CPU 的詳細信息。

就 Reptar 而言，很明顯 CPU 仍然容易受到安全漏洞的影響，尤其是當它們變得越來越復雜時。谷歌最近發(fā)現(xiàn)了更多此類漏洞，如果不加以解決，可能會影響數(shù)十億臺設備。

谷歌繼續(xù)投入資源來主動識別硬件和 CPU 漏洞，影響。谷歌表示，內(nèi)部發(fā)現(xiàn) Reptar 后，他們迅速與英特爾和行業(yè)合作伙伴聯(lián)系，在其成為問題之前開發(fā)和測試緩解措施。

通過密切合作，已經(jīng)推出緩解措施來保護用戶。在公開披露 Reptar 之前，谷歌確保其 Google Cloud 和 ChromeOS 等服務受到免疫。該公司認為這種協(xié)調(diào)一致的漏洞披露流程可以保證用戶的安全。

英特爾已為所有受影響的處理器發(fā)布了更新的微代碼。您的操作系統(tǒng)或 BIOS 供應商可能已經(jīng)有可用的更新！

圖片

在英特爾公告中，鳴謝部分寫道：英特爾和幾乎整個科技行業(yè)都遵循一種名為“協(xié)調(diào)披露”的披露做法，根據(jù)該做法，網(wǎng)絡安全漏洞通常只有在采取緩解措施后才會公開披露。