Apple确认受云端和幽灵影响的所有设备
伦敦是谷歌支持的千兆Wi-Fi的旁边
Aerovionment的Quantix无人机是关于数据的
英特尔CPU的缺陷可以帮助攻击者击败ASLR利用防御
2017年十大IT安全故事
Microsoft将Python添加到其深度学习工具包中
VMware-AWS交易可以将更多公司推向云端
BT搁置£20米在北爱尔兰推出FTTP
英特尔希望让其IOT芯片看到,想想和行动
更新:Assange的互联网接入“州行动者”,Wikileaks说
BlackBerry推出网络安全服务
Infiniband明年将达到200千兆位的速度
现在可用的Ransomware解密框架
人们准备考虑AI,但企业必须解决道德规范
物联网齿轮需要更好的安全来赢得Z-Wave徽章
2017年技术故事中的技术和多样性十大女性
四个英国工人的一个有恶意泄露的业务数据
Margot James在政府重新洗牌后接管了数字部长
2017年上半年,公共云收入增长了28%,研究发现
第三方网络安全失败最多的企业
Red Hat说,容器将讨论VM和存储阵列
捷克警察纳布俄罗斯黑客怀疑瞄准美国。
Azure 10月综述:价格下降,数据分析等等
赛门铁克收购已诉讼过去
非洲国家拥有世界上最昂贵的宽带
数字基础设施对于伦敦未来发展至关重要
什么是MAC对苹果的意思,表面到微软?
2017年预算承诺庞大的英国技术提升
企业如何防止销售点攻击
Apple的Airpods可以通过多种无线协议提供音频
Apple销售,利润再次跌倒,而是一个更亮的前景
雅虎在电子邮件扫描争议上问我们清楚起见
Oracle Q2 2017-18结果见云收入增长至1.5亿美元
谷歌正在将电子表格,文件和演示文稿转换为DO-DO列表
Staples将办公室竞争对手与亚马逊回声和谷歌主页开发
Woody的Win10tip:仔细应用更新
Next-Gen Mirai Botnet Sparks呼叫更安全的物联网设计
网络安全专业人员敦促拥抱AI和自动化
Android正在慢慢地滑回老坏习惯
Microsoft Morphs Office 365 UI进入Windows 10开始菜单看起来
DataDog将其带到新的遗物和其他APM供应商
大多数企业误入云数据保护责任
2017年十大开发人员故事
嗯,我从来没有! iOS 10的语音邮件转录有一个便盆的嘴巴
三星Galaxy S8:发布日期,耳机插孔,相机,代码名称等
安全社区敦促谨慎对令人反感的网络防御
荷兰数字硬币矿工提供了数据中心空间,以降低成本
超越GDPR以获得竞争优势
微软仍然保持沉默,因为表面专业3电池堵塞堆积
IT优先事项2018:韩国花更多的大数据和物联网
您的位置:首页 >产品 > 人工智能 >

Apple确认受云端和幽灵影响的所有设备

2021-07-24 20:44:13 [来源]:

在确认其所有设备受到微芯片缺陷的影响后,Apple已发布其操作系统的软件更新,称为幽灵和熔化。

科技产业纷纷争抢修复适用于所有现代处理器的芯片缺陷,并可能留出具有其数据访问或被盗的风险的消费者和企业。

虽然所有MAC系统和IOS设备受到影响,但Apple表示,没有已知的利用影响Apple Device用户,并仅从可信源从受信任的来源下载下载软件。

Apple发布了IOS 11.2,MacOS 10.13.2和TVOS 11.2的缓解,以帮助防止崩溃,并表示Apple Watchwas不受影响。

崩溃的减轻的影响估计估计的性能降低30%,但苹果声称它迄今已发布的更新导致宏和iOS的“绩效无能为力降低”。

Apple还计划在Safari浏览器中发布缓解,以帮助抵御幽灵“在未来的日子里”,并且所述测试表明野生动物园缓解措施几乎没有可测量的性能影响。

该公司表示,它将继续开发和测试幽灵和崩溃的进一步减轻,这些都将在未来的iOS,MacOS,TVOS和Watchos更新中发布。

熔点和幽灵利用利用称为投机执行的现代CPU性能特征,这通过一次操作通过多个指令进行改善。

为了提高性能,CPU预测哪个分支的路径最有可能被拍摄,并且即使在分支完成之前,也会通过该路径级别地继续执行该路径。如果预测错误,则这种推测执行以旨在对软件不可见的方式回滚。

但是,陷入困境和幽灵剥削技术滥用投机执行,也称为无序的执行,访问特权内存 - 包括内核的特权 - 来自诸如在设备上运行的恶意应用程序的较少特权的用户进程。

ectdown特别是指被称为“流氓数据缓存加载”(CVE-2017-5754)的利用,其可以使用户进程读取内核存储器。根据Apple,Mettown最有可能被利用。

揭开缺陷的研究人员表示,自1995年以来,崩溃可能影响每个英特尔处理器,除了Itanium和Atom之外。

幽灵是指被称为CVE-2017-5753的两种不同的剥削技术,或“界检查旁路”,以及CVE-2017-5715或“分支目标注入”。这些技术可能通过利用CPU可能采用CPU来检查内存访问呼叫的有效性,使用户流程中的内核内存中的项目提供给用户流程中的可用项目。

幽灵脆弱性已经过度验证了CyResearchersas影响英特尔,AMD和ARM制造的芯片,但AMD声称由于芯片架构的差异,其处理器的处理器有“接近零风险”,而ARM指出其大多数芯片未受影响。

像Apple,Microsoft和Google一直在研究软件更新,以减轻芯片缺陷,因为他们2017年底的研究人员披露,并且已经开始发布这些更新。根据Google的说法,如果用户已应用最新的安全更新,则会保护其Android手机。

如前所述,如前所述,云提供商社区已动员旨在保护用户免受安全缺陷,但研究人员建议可能需要更换所有基础CPU硬件来消除利用风险。

金融服务业也关注芯片缺陷的潜在影响,并根据金融服务信息共享和分析中心(FS-ISAC),其成员继续评估实际风险,并寻求有关漏洞及其漏洞的其他信息潜在影响。

“金融服务社区认真对待所有漏洞,并采取积极措施,以确保风险缓解,”本组织表示,除了由崩溃和幽灵提出的安全考虑之外,预计会有绩效降级。

这种性能影响,FS-ISAC表示,可能需要更多的处理能力来补偿和维护当前的基线性能,这意味着额外的成本也可能是维持当前系统和应用性能的因素。

“即使在已知的性能下,修复内核级漏洞通常需要比浏览器,Office生产力应用程序和其他修补程序所需的更好的测试,导致操作系统的底层直接链接。

“需要考虑和平衡修复潜在的安全威胁与对系统的性能和其他可能的影响之间。当前的一般思想是,在专用服务器和端点上的安全风险将降低(由于在inpidual系统上运行代码的预期利用要求)和更高的共享计算机,例如使用相同物理硬件的托管和云服务(和处理器)分享不同(用户)虚拟机,“FS-ISAC表示。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。