“研究人员发现了多家CPU漏洞但这一次AMD客户面临风险”

几天前，我们报道了cpu的漏洞。 这个漏洞可能会伤害大量的intel顾客。 这个漏洞是由positive technologies发现的，无法通过固件更新进行更正，因此会影响csme。

目前，研究人员发现了amd cpu的新缺陷。 这个缺陷会影响-2019年期间的所有解决器。 collide + probe和load + reload攻击会影响已解决数据的安全性，允许攻击者窃取新闻。 这个漏洞是由奥地利图表科学技术大学和法国雷恩大学的安全研究者发现的。 安全研究员于2019年8月就此漏洞与amd联系，但该公司并未发布固件更新以解决此问题。 amd指出，这些攻击不是基于推测的新攻击。 但是研究小组不同意。

预测器使用没有记录在虚拟地址中的哈希函数进行计算吗？ 标签。 这个？ tag用于搜索预测表中的l1d缓存方法。 因此，cpu需要用一种格式而不是所有可能的方法来比较缓存标签，从而降低了功耗。

第一种攻击技术collide + probe是否使用虚拟地址？ tag冲突监视在时间上共享相同逻辑核心的受害者的存储器访问。

在第二种攻击技术load + reload中，利用了物理存储器的位置在l1d缓存中只存在一次的属性。 因此，如果使用不同的虚拟地址访问相同的位置，则会将其从l1d缓存中排除。 即使受害者在同级逻辑内核上运行，攻击者也可以监视受害者上的存储器访问。

根据zdnet的说法，这些攻击不需要特别的设备，不需要物理访问就可以工作。 amd试图将此作为基于旧推测的攻击进行传达，但研究小组告诉zdnet，amd的反应相当误解，在去年8月的初次报告发表后，amd没有与小组合作过。 他们还表示，直到今天，这些攻击仍然可以在完全更新的操作系统、固件和软件中发挥作用。

幸运的是，这些攻击没有meltdown那么糟。 meltdown允许泄露实际数据。 撰写这篇论文的研究者之一丹尼尔·格拉斯( daniel gruss )在twitter上表示，这些攻击允许元数据泄露，但不如meltdown和zombieload的泄露。

本文：《“研究人员发现了多家CPU漏洞但这一次AMD客户面临风险”》