熔点和幽灵:修补或不修补
哈佛芯片上的3D印刷心脏可能导致个性化医学突破
摩托罗拉希望您创建下一个Moto Mods
现代零售:机器学习,客户体验和遗产
警告报告,工业网络安全持续较差
CRAY瞄准500-PETAFLOP标记,XC50超级计算机
Ukcloud要为公共部门用户开立Microsoft Azure Stack Region
另一种JVM语言?虽然采取了新的方法
在线风险可能意味着真实的后果
超过四分之一的英国购物者为可穿戴的非接触式付款做好准备
大学的IT外包可能引发歧视诉讼
Airbnb开放来源数据 - 科学共享平台
云公司需要1亿美元的数据中心投资四分之一与AWS和CO竞争
三星购买了哈曼以拍摄苹果汽车
英格兰银行负责呼吁加密货币监管
遗产锁定和缺乏技能妨碍公共部门云采用
FA与认识到数字服务合同
Dashlane UPS Business'Ante的“密码管理器”
5G轮子在APAC中旋转
Gartner:A.I.成为最高商业投资优先事项
银行被迫开放了主要的安全和操作事件
科技投资占用零售业吗?
可能在可能的违规后,印度银行更换了数百万借记卡
新的Windows代码注入方法可以让恶意软件绕过检测
荷兰IT专家采取伦理的黑客攻击
拟议的Snoopers的章程变化不足,说权组
微软和谷歌用一种小路埋葬斧头
惠普的电源包装Z2迷你桌面占用Apple的老化Mac Mini
微软在Windows Tasg中播放创造力卡给消费者
IBM表示管理PC比Mac更昂贵3倍
为什么Google Fiber在11个城市的工作中“暂停”,并将人们置于其中
与IBM的Watson,GlaxosMithkline解决Sniffle和咳嗽问题
如何谨慎更新Windows 7和8.1机器
使用GDPR到未来的商业模式
高通公司同意购买超过370亿美元的恩智浦
易于开发的生根缺陷将Linux计算机置于风险
澳大利亚的Kogan.com打破了孤岛
金融专家预测Apple的更多坏消息
高速公路英国计划5G,智能车辆,无人机
Deloitte赞助有助于Bletchley Cyber​​ School的进步
云服务将其外包市场提升高于预期
对人民的权力:太阳能电池板销售很快超越租赁
英特尔在自驾车中投资250万美元
在欺诈击中20,000个账户后,英国银行暂停在线支付
2017年国家监控,技术和法律十大故事
地理空间委员会在预算中宣布打开OS数据
2017年十大电脑故事
公共部门IT供应商的需求清晰度超过G-Cloud 10发布日期
TomTom导航到全球性HR平台
每个版本的SQL Server 2016现在都获得了完整功能集
您的位置:首页 >科技 > 技术前沿 >

熔点和幽灵:修补或不修补

2021-07-26 13:45:02 [来源]:

谷歌的熔点和幽灵加工机缺陷由谷歌的项目零队于1月初发现,IT行业已经开始发布贴片和热修复,以提供对潜在利用的保护程度。

基于由铁匠移动管理系统管理的公共,私人和第三扇区的设备的匿名和聚合数据的Seastudy发现,只有4%的移动设备为安装的熔点和幽灵漏洞有安全更新。

修补的缺点是某些应用程序和服务可以采取绩效命中,因为补丁倾向于关闭有可能被剥削的特定处理器优化。

对于企业而言,由于Microsoft,Intel,AMD和ARM等公司释放的安全补丁以及诸如截止日期措施的安全补丁,以及一些造成不相容问题的安全补丁。这有可能使其修补和工业系统更加复杂和耗时。

从长远来看,该修复物将由硬件制造商在新芯片组中推出 - 但据此需要多年。

即使新一代安全芯片释放,对于大多数组织之间的正常计算机硬件刷新周期,可能是在所有系统没有缺陷之前长时间。

“对于具有老化硬件的公司,修补程序可能是一种选择,但它将取决于新芯片组的开发,测试和发布生产使用情况,”趋势科技的主要安全战略家“笑话剧烈策略师表示有效。

鉴于熔化和幽灵是微处理器漏洞,它们的效果不限于智能手机,平板电脑,个人计算机和服务器。使用包含缺陷的芯片的网络设备和存储制造商正在推出补丁的过程中。嵌入式系统还需要修补。

它已被广泛报道,Microsoft的云端和幽灵的Windows更新影响了许多软件产品,例如Rockwell的出厂包装机界面工具,其经历了异常。

鉴于熔点和幽灵是微处理器漏洞,它们的效果不限于智能手机,平板电脑,个人电脑和服务器

“可能是任何使用来自英特尔,AMD和ARM的受影响芯片组的设备将对漏洞开放,”秘密“。对于IOT [Internet Internet]设备,智能电视和机顶盒,主要担忧是违反隐私,特别是如果威胁演员可以通过提取用户名和密码来接管设备。“

Mistry相信销售点终端和现金机器的风险可能更大。“恶意代码可用于拦截和操纵数据路径以进行非法增益。

在一个博客文章中,Indegy工业安全总监Chris Grove写道:“许多支持工业控制器,如自动化系统,批量控制系统,生产控制服务器,打印机,OPC系统,SCADA系统,外围设备和IIT [工业IOT]设备,包括摄像机和传感器的设备,最有可能脆弱。”

格罗夫警告说,许多企业的挑战是识别哪些控制系统可能受到影响。

幸运的是,并非每个设备都会受到处理器缺陷的影响。例如,条形码读者制造商Denso,Toyota的一部分发表了一份声明,称其手持设备不会利用熔点和幽灵利用的特定处理器优化。

其他公司已直接受到影响,需要修补,但其中一些贴片导致故障。

“硬件和操作系统供应商提出的许多初始缓解表明,施耐德电气警告施导电,推荐谨慎,如果将减轻和/或性能约束的系统应用于临界和/或性能约束的系统,建议谨慎的潜在性能影响。

UK Industrial Systems公司Wonderware发布以下声明:“运行Wonderware Historion软件的客户不应应用Microsoft补丁。已经发现了历史学家系统驱动程序的问题。“

有许多因素限制了崩溃和幽灵的潜在风险。首先,入侵者需要攻击已知具有漏洞的系统。入侵者还需要对易受攻击的系统进行物理访问,并且需要有能力在该系统上安装和运行漏洞。

这些将限制崩溃和幽灵可能导致漏洞的潜在损害。但是,他们代表了缺陷,它妥协了微处理器本身,行业现在面临的问题是微处理器缺陷将成为黑客的新攻击向量。

该行业的回答这一新风险,基于到目前为止抵消抵消和幽灵,远非令人满意。正在发出补丁,但许多用户不更新他们的智能手机,一些修补程序正在导致软件分解。

由于其公共性质及其有效性,趋势科技司网络安全研究副总裁Rik Ferguson预计安全研究人员将继续具有更大的热情的微处理器。

“幽灵和崩溃一直是为什么微处理器的非常有限的微处理器生态系统成熟的图形,高度公布和普遍的例子是研究和剥削,”义夫斯顿“。处理器占据了计算机架构的特权位置,并且在这方面的缺陷,特别是缺陷可以远程剥夺,确实是非常有价值的。“

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。