在英特尔和微软今天发布的公告中,表示多款英特尔酷睿处理器存在一系列 CPU 漏洞。这些安全漏洞与 CPU 的内存映射 I/O(MMIO)有关,因此被统称为“MMIO陈旧数据漏洞”(MMIO Stale Data Vulnerabilities)。威胁者在成功利用一个有漏洞的系统后,可以读取被攻击系统上的特权信息。
在其安全公告 ADV220002 中, 微软 描述了潜在的攻击场景:成功利用这些漏洞的攻击者可能会跨越信任边界读取特权数据。在共享资源环境中(如存在于一些云服务配置中),这些漏洞可能允许一个虚拟机不正当地访问另一个虚拟机的信息。在独立系统的非浏览场景中,攻击者需要事先访问系统,或者能够在目标系统上运行特制的应用程序来利用这些漏洞。
MMIO 使用处理器的物理内存地址空间来访问像内存组件一样响应的 I/O 设备。 英特尔 在其安全公告 INTEL-SA-00615 中,更详细地描述了如何利用 CPU 非核心缓冲区数据来利用该漏洞。
【来源:cnBeta.COM】