英特尔新Spoiler漏洞确认无法通过现有补丁解决

北京时间 3 月 7 日上午消息，美国马萨诸塞州伍斯特理工学院和德国吕贝克大学的研究人员近期发表论文，公布了所有当代英特尔酷睿处理器存在的一个新的预测执行安全漏洞。

这个漏洞被称作“SPOILER”。简而言之，攻击者可以通过网页浏览器中的恶意JavaScript脚本或其他恶意软件利用这个漏洞，从内存中提取密码、密钥和其他数据。

SPOILER中涉及的“预测执行”CPU性能提升技术令人想到 2018 年 1 月最先公布的Spectre漏洞。然而研究人员表示，SPOILER的数据泄露“源于完全不同的硬件单元，即内存顺序缓冲”，因此目前的Spectre补丁无法解决该漏洞。

“SPOILER不同于Spectre攻击，根本原因是英特尔内存子系统中关于寻址的私有配置存在问题，导致由于物理地址冲突直接泄露定时行为。”

更严重的是，SPOILER漏洞会导致在任何操作系统中，没有特别权限的用户空间的数据泄露，也可以在虚拟机或沙箱环境中使用。来自SPOILER攻击的泄露数据本身并没有太大意义，但可以帮助提高当前攻击的效率，而黑客也可能利用新获得的数据展开新形式的攻击。

研究小组于 2018 年 12 月 1 日向英特尔报告了这个漏洞。