中国公司首次发现CPU漏洞 [快讯]

微软官方于8月14日发布了新一轮安全公告，并提供了安全更新指引。公告中，微软向360CERT团队公开致谢——他们发现了新的CPU漏洞，这一漏洞被归类为L1TF（L1终端故障）。这是国内安全人员首次发现CPU漏洞并获得致谢。目前发现，...

微软官方于8月14日发布了新一轮安全公告，并提供了安全更新指引。公告中，微软向360CERT团队公开致谢——他们发现了新的CPU漏洞，这一漏洞被归类为 L1TF（L1终端故障）。这是国内安全人员首次发现CPU漏洞并获得致谢。

目前发现，此类漏洞只影响英特尔CPU。如果被攻击者利用，可能会影响其微处理器产品、操作系统、系统管理模式和虚拟化软件，并从多种类型的计算设备中盗取敏感数据。

一般来说，CPU漏洞对于厂商、用户都有着“核弹级”影响，恶意程序一旦利用这些漏洞，将能越权访问内存，并能从受攻击电脑的内存中窃取各种信息，包括用户账号密码、应用程序文件、文件缓存等等。

360CERT安全专家表示，这次爆出的漏洞，没有今年年初轰动一时的“熔断”和“幽灵”级别的威力，不能任意获取内存。并且目前的攻击方法独立使用不能精准的获取目标内存，需要其他漏洞配合才能实现，这就给攻击者们带来不小的难度。此外，此次发现的漏洞目前还未被攻击者利用，进行真实场景的攻击。

但是即便如此，它仍然不可小觑——微软之前针对CPU漏洞提出的一些缓解措施，如KPTI，对于这一漏洞是无效的。

安全专家表示，本次发现的漏洞，如果被黑客利用，其极限能力可能对浏览器内存数据，虚拟机，甚至内核隐私数据进行盗取。对普通网民来说，你的社交媒体账号，设置隐私权限的私密相册等，都可能存在被盗取的风险。不过，由于漏洞利用难度高，且无法独立直接用于精准窃取隐私，威胁不大，相关用户无需过分恐慌。

英特尔方面披露，此次涉及的产品包括被广为使用的Core以及Xeon处理器，这让个人电脑用户和数据中心都面临着巨大风险。

360CERT团队及时发现并向微软报告了这一漏洞，微软也在第一时间积极修复。同时，英特尔也致力于改进硬件，防范未来遭受此类攻击，英特尔微处理器微码已更新。Intel同时表示，此次安全更新不会显著影响性能。

360CERT团队建议，用户和系统管理员应与其系统制造商和系统软件供应商联系，并尽快应用任何可用的更新。

来源：北京晚报 记者 孟环