熔点和幽灵:AWS,Google和Microsoft急于修补云芯片漏洞
随着云提供商社区动员以保护用户免受两种基于长期的基于处理器的安全缺陷的保护,研究人员建议RIP并更换其底层CPU硬件来消除利用的风险。
根据Carnegie Mellon大学软件工程研究所发出的咨询通知,需要通过应用更新和更换受影响的CPU硬件来解决缺陷 - 配音熔融和幽灵。
“潜在的漏洞主要由CPU架构设计选择引起。完全删除漏洞需要更换易受攻击的CPU硬件,“该研究所建议。
这两个缺陷都可以为黑客铺平道路,以窃取正在通过使用恶意程序在受影响硬件的设备和服务器上处理的数据,因此请索赔。
崩溃被认为是自1995年以来的每个英特尔处理器的影响,除Itanium和Atom之外。在撰写本文时,并未被认为影响来自AMD和ARM的竞争处理器。
然而,幽灵脆弱性已被验证的令人衰退,因为影响英特尔,AMD和ARM制造的芯片。
“虽然通常允许程序从其他程序读取数据,但恶意程序可以利用云端和幽灵来获得存储在其他正在运行的程序中的秘密,”在博客帖子中揭开缺陷的研究人员。
研究人员添加了这些“秘密”可以包括保存在密码经理或浏览器,个人照片,电子邮件或即时消息以及业务关键文档中的登录详细信息。
“崩溃和幽灵在个人电脑,移动设备和云中工作。根据云提供商的基础架构,可以从其他客户窃取数据,“他们写道。
博客帖子继续说明利用英特尔CPU和基于Xen的Para-Virtualisation技术的云提供商处于危险之中,除非它们修补其系统。
“此外,没有真实硬件虚拟化的云提供商,依赖于共享一个内核的容器,例如Docker,LXC或OpenVZ受到影响,”研究人员添加。
鉴于云威胁,亚马逊网络服务(AWS),谷歌和微软都搬家全部移动,以确保他们各自的云平台的用户正在被采取的行动来减轻云端和幽灵所带来的风险。
如前所述通过计算机每周报告,安全缺陷的详情首次在2017年底前来光明,由几个研究团队和辛勤队独立开展的工作,包括谷歌项目零倡议的Jann Horn。
由于从项目ZEROG ZORG ZORE ZORE ZFILASIVES,因此谷歌声称其工程师一直密切合作,以保护其G G Goods of Productivity Services和Google云平台(GCP)的用户免受威胁。
“G Suite客户和用户不需要采取任何措施来保护免受漏洞的保护,”该公司表示博客文章。“GCP已经更新以防止所有已知的漏洞。Google Cloud以支持我们为客户提供运营连续性的同时更新环境的方式归档。“
同时,AWS发布了一份声明,即目前从开发时保护了Amazon EC2实例的所有“但小单位数百分比”。
“剩下的时间将在未来几个小时内完成,”它说。“我们将使客户在安全公告中保留额外信息,并提供更新的信息。”
同样,微软在一份声明中确认它正在积极开发和测试一系列“减轻”对威胁的“减轻”,并且正在为其云客户部署修复程序。“我们没有收到任何信息,以表明这些漏洞具有以下信息用来攻击客户,“微软补充道。