谷歌，微軟發現另一個幽靈，崩潰漏洞英特爾承諾在未來幾周內發布補丁程序。設備可能會受到性能影響

Google, Microsoft find another Spectre, Meltdown flaw

Intel promises patches in the next few weeks. Devices could take a performance hit.

研究人員發現了數以億計的晶元中發現的幽靈和熔毀瑕疵的第四個變種。

英特爾和微軟周一披露了一種新發現的Spectre和Meltdown安全漏洞，揭示了數億台計算機和移動設備中使用的晶元存在的另一個漏洞。

英特爾正在呼籲新應變「Variant 4」。據該公司稱，儘管這一最新的變體涉及到1月份首次披露的許多相同的安全漏洞，但它使用了不同的方法來提取敏感信息。

Spectre和Meltdown一直困擾著英特爾，Arm和AMD等公司，這些公司生產的晶元存在從電腦和筆記本電腦到移動設備等各種缺陷。這些漏洞可能允許攻擊者讀取CPU上的敏感信息，這影響了過去二十年來數以億計的晶元。雖然像英特爾，蘋果和微軟這樣的公司已經發布了更新來修補這些缺陷，但修復並不總是按照預期工作，有時會導致電腦問題。

黑客們經常在網上搜索可以讓他們進行攻擊的漏洞。例如，WannaCry勒索軟體攻擊利用了Windows電腦的所有者從未實施過微軟補丁。

但即使在英特爾和其他公司解決了第一次緊張局勢之後，研究人員預計最初的漏洞會出現新的變化。 1月份，Arm首席執行官Simon Segars預測，像Specter這樣的缺陷很可能會再次發生。周一的諮詢是面臨持續安全問題的公司的最新例子。

根據該公司的博客文章，英特爾將Variant 4分類為中等風險，因為它在Web瀏覽器中使用的許多漏洞已在最初的一組補丁中修復。新發現的變體使用了一種稱為「Speculative Store Bypass」的特性，它可以讓您的處理器將敏感數據載入到潛在的不安全空間。

在美國CERT的諮詢中，官員表示，這個新漏洞會讓攻擊者讀取CPU上較舊的內存值。

該公司表示，它沒有看到黑客使用這個漏洞，並且在未來幾周內發布了一個完整的漏洞修補程序。英特爾公司安全執行副總裁Leslie Culbertson在一篇文章中表示，英特爾已經為製造商和軟體供應商提供了更新。

雖然她表示英特爾不希望補丁影響計算機性能，但她承認公司測試系統的性能下降了2％到8％。根據英特爾的說法，此修補程序默認設置為關閉狀態，供應商可以啟用該修復程序。

在微軟發布的安全公告中，該公司表示，潛在的攻擊者可能利用瀏覽器中的JavaScript來執行攻擊。

來自谷歌Project Zero的研究人員發現了第一組漏洞，他們在二月份首次向Intel，AMD和Arm報告了這個問題。該團隊還將其歸類為中等嚴重性風險。

在Arm的白皮書中，該公司表示大多數處理器不受新版本的影響。

「重要的是要注意，這種方法依賴於本地運行的惡意軟體，」Arm在一篇博文中說。

AMD安全公告還警告用戶保持系統更新，並稱微軟正在對AMD特定的修補程序進行測試。

首次公布5月21日下午2時49分PT。

下午2點11分更新：增加了關於新宣布的缺陷的更多細節;在下午2點48分：添加來自微軟和谷歌的變種4的細節;下午3點：添加Arm和AMD的評論;在下午3點22分：增加關於性能問題的細節。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！