不到一年,英特尔(Intel)第三次披露一系列与处理器推测性执行功能相关的新漏洞。27日英特尔表示,将在“未来几周”发布软件更新,修复另外两个微架构数据采样(Microarchitectural Data Sampling,MDS)或称“僵尸负载”(Zombieload)安全漏洞。这是去年5月和11月分别发布两个修补程序之后,发布的最新更新修补程序。
与英特尔之前两个修补程序处理的MDS漏洞相比,最新漏洞本身会有一些限制。首先,其中一个漏洞,也即第一级缓存数据回收采样(L1 Data Eviction Sampling,L1DES)漏洞,对英特尔最新芯片不会造成影响。再者,黑客不能通过Web浏器发动攻击。英特尔另外表示,目前尚不确定是否有在实验室之外利用这些漏洞发动攻击的实例。
然而,就像去年11月发布第二回MDS修补程序时,安全研究人员对英特尔这种“头痛医头、脚痛医脚”的做法多有批评。“我们花了几个月试图说服英特尔,L1DES漏洞引发的数据外泄有可能,所以必须尽快解决。”发现此漏洞的国际计算机科学家团队在网站写道。“我们重申RIDL(Rogue In-Flight Data Load)类型漏洞的修补或缓解十分重大,目前解决这些问题的“发现漏洞”缓解策略有问题。”研究人员写道:“此外,我们质疑整整一年信息披露过程的有效性,并对学术过程的破坏性影响感到担忧。”
刻意淡化批评的同时,英特尔表示已采取重大措施,以降低这些漏洞对处理器可能造成的风险。“从2019年5月的MDS漏洞开始,再到11月的TSX异步中止(TSX Asynchronous Abort,TAA)漏洞,我们和系统软件合作伙伴已发布相应缓解措施,逐渐显著减少这类问题的整体攻击面,”发言人指出:“我们持续在内部展开这方面研究,并与外部研究机构合作。”
(首图来源:shutterstock)