處理器行業(yè)今年被熔斷、幽靈兩大安全漏洞搞得滿城風雨，現(xiàn)在，芬蘭坦佩雷理工大學、古巴哈瓦那技術(shù)大學的五位研究人員，又在Intel處理器內(nèi)發(fā)現(xiàn)了一個新的安全漏洞，命名為“PortSmash”，可導(dǎo)致加密信息泄露。

據(jù)悉，該漏洞屬于側(cè)信道攻擊(Side-Channel Attack)類型，影響所有支持HT超線程技術(shù)的Intel處理器。

攻擊者可以利用超線程技術(shù)，與合法線程并行運行一個惡意進程，進而從合法進程中竊取少量數(shù)據(jù)，進而讓攻擊者重建合法進城中的加密數(shù)據(jù)。

這種攻擊唯一的要求就是惡意進程和合法線程必須運行在同一個物理核心上，但這并沒有什么難度。

研究團隊已經(jīng)在GitHub上公布了概念驗證攻擊代碼，實測在六代酷睿Skylake、七代酷睿Kaby Lake上有效，成功從一臺TLS服務(wù)器上盜走了一個OpenSSL P-384私有秘鑰，而且如果需要完全可以針對任何類型的數(shù)據(jù)。

不過幸運的是，這個漏洞不影響緩存和內(nèi)存控制器中的數(shù)據(jù)。

至于AMD處理器是否也受影響，研究者正在做進一步的工作，但強烈懷疑存在，尤其是也支持了超線程的Ryzen銳龍家族。

對此報道，Intel方面向快科技發(fā)來了官方回應(yīng)，表示已經(jīng)獲悉相關(guān)情況，但這個新的漏洞和此前的熔斷、幽靈、L1終端漏洞無關(guān)，不需要更新補丁修復(fù)，而且也不是Intel獨有的，用戶可以放心。

Intel官方回應(yīng)原文如下—;—;

“英特爾已經(jīng)收到了這項研究報告。這個問題不依賴于預(yù)測執(zhí)行，因此與此前發(fā)現(xiàn)的;幽靈;或熔斷; 或L1終端故障無關(guān)。我們認為這并非英特爾平臺獨有的問題。這些針對側(cè)信道分析方法的研究通常側(cè)重于操控和測量共享硬件資源的特性參數(shù)，例如時間。通過遵循側(cè)信道安全開發(fā)慣例，就可以保護軟件或軟件庫免受此類問題的影響。保護客戶的數(shù)據(jù)并確保我們產(chǎn)品的安全性，始終是英特爾的第一要務(wù)，我們將繼續(xù)與客戶、合作伙伴和研究人員合作，了解并防御所發(fā)現(xiàn)的任何安全漏洞?！?/p>