原标题:OS业者误解晶片制造商文件,使Windows、macOS与Linux曝露资安风险
图片来源:CERT
两名研究人员Nick△Peterson与Nemanja△Mulasmajic近日公布一份研究报告,指出作业系统的开发人员误解了英特尔(Intel)与AMD的系统程式指南与软件开发手册有关异常指令的说明,让这些作业系统面临机密资料外泄或遭骇客掌控的风险,包括Windows、macOS、Linux△Kernel、Ubuntu、红帽、FreeBSD与Hypervisor都受到波及,也让美国电脑网络危机处理中心CERT提出了警告。
现代处理器通常具备除错架构,当作业系统或应用程序开发人员在执行软件并发现异常时,就会把执行权限交给除错软件。
CERT指出,作业系统的开发人员误解了英特尔架构上的中断/异常指令—MOV△SS与POP△SS,而使得他们所打造的作业系统无法妥善检查或处理异常状况,并衍生出CVE-2018-8897漏洞。
x86架构的权限设计中有4个环状等级,其中的Ring△0属于最高权限的作业系统核心,而Ring△3则是最低的应用程序等级。若于MOV△SS与POP△SS指令后使用了特定指令,处理器中被列为Ring△0等级的资料即可能允许Ring△3权限的应用程序存取,也意味着骇客能够利用作业系统的APIs存取置放于记忆体中的资料,或控制低阶的作业系统功能。
CERT的警告只针对英特尔架构,还指出英特尔的文件可能解释的不够清楚,但研究人员则说该漏洞同时影响英特尔与AMD。
要开采该漏洞的骇客必须先于系统上植入恶意程式或是登入该系统,除了众多的作业系统受到该漏洞的影响之外,打造Hypervisor的VMware与Xen也在名单之列,业者已纷纷展开修补。
相关:
现在很多人都有使用信用卡,但有时候信用卡还款日期到了资金又紧缺怎么办?如今有很多信用卡代还平台可以帮你解决燃眉之急,不过这中间需要承担一定的手续费。近日有媒体揭信用卡代还平台三大套路,看完之后你还敢选
近日,江苏省质监局官网发布了智能马桶盖、节水型坐便器产品质量抽查结果。结果显示,智能马桶盖合格率72%,节水型坐便器合格率55.2%。智能马桶盖被检不合格 此次检测主要针对智能马桶盖产品的安全方面,共抽查50批次
近年来,房价一直处于上涨的状态当中,不少的老百姓声称自己就算花费所有的积蓄都不能够买到一间房子,但是现在一些出租房也存在炒租行为。近日,有消息指出称租房市场同样不容炒,因为炒租房危害十分大!炒租房危害
“只要提供钥匙照片,就能配出钥匙”——对于一些网络商家的宣传,你是否相信?记者通过采访和亲身体验发现,无论是家门钥匙,还是汽车钥匙,只要提供的照片足够清晰,都可以远程配置,价格从10元到60元不等。通过网
不用跑银行排队等候,下载个APP应用,完成注册,收到验证码,就可以查询自己的个人信用报告。虽然使用这些APP查询征信比较方便,但是也存在诸多风险。日前,央行声称要整治APP代查征信,并严禁未经授权认可的APP接入