Intel раскрыла еще одну спекулятивную уязвимость исполнения, затрагивающую многие ее процессоры, в том числе мобильные процессоры последнего 10-го поколения. К счастью, уже есть исправления, по крайней мере, для пользователей, работающих под управлением Windows 10, Windows 8.1 (и Windows RT 8.1), Windows 7 и различных версий Windows Server.
Уязвимость связана с расширением архитектуры набора команд x86, которое называется Intel Transactional Synchronization Extensions (Intel TSX). Это расширение добавляет поддержку аппаратной транзакционной памяти для улучшения многопоточных рабочих нагрузок. Недостаток был назван Асинхронное прерывание TSX (также известный как ZombieLoad 2), который, по словам Intel, похож на микроархитектурную выборку данных (MDS) и влияет на те же буферы (буфер хранения, буфер заполнения и шина данных обратной записи порта загрузки).
Вот как Intel описывает уязвимость
Существует ряд векторов атак спекулятивного исполнения по побочному каналу, которые уже были раскрыты и устранены с помощью предыдущих патчей, включая оригинальный ZombieLoad. Этот новый, однако, может обойти ранее выпущенные меры безопасности.
Эта ошибка затрагивает широкий спектр процессоров, включая процессоры Core 10-го поколения (мобильные), масштабируемые процессоры Xeon 2-го поколения (сервер), семейство процессоров Xeon W (рабочая станция), процессоры Core 9-го поколения (мобильные и настольные), процессор Xeon семейства E (рабочая станция и сервер), процессоры Pentium Gold 10-го поколения (мобильные), Celeron 5000-го поколения 10-го поколения (мобильные) и процессоры Core 8-го поколения (мобильные).
«Чтобы воспользоваться этой уязвимостью, злоумышленнику потребуется войти в уязвимую систему и запустить специально созданное приложение. Уязвимость не позволяет злоумышленнику выполнять код или напрямую повышать права пользователя, но его можно использовать для получения информации, которая может быть использована, чтобы попытаться еще больше скомпрометировать уязвимую систему », заявляет Microsoft
Ссылки на скачивание исправлений можно найти на странице поддержки Microsoft CVE-2019-11135. Кроме того, меры по снижению риска включены в обновление Patch Tuesday.
Опубликовано в Безопасность в интернете Теги Intel, Intel TSX уязвимость, Microsoft CVE-2019-11135 исправление, ZombieLoad 2, безопасность
