3月7日消息，美國馬薩諸塞州伍斯特理工學(xué)院和德國呂貝克大學(xué)的研究人員近期發(fā)表論文，公布了所有當(dāng)代英特爾酷睿處理器存在的一個(gè)新的預(yù)測執(zhí)行安全漏洞——“SPOILER”。研究小組于2018年12月1日向英特爾報(bào)告了這個(gè)漏洞。

　　研究人員稱，攻擊者可以通過網(wǎng)頁瀏覽器中的惡意JavaScript腳本或其他惡意軟件利用這個(gè)漏洞，從內(nèi)存中提取密碼、密鑰和其他數(shù)據(jù)。SPOILER中涉及的“預(yù)測執(zhí)行”CPU性能提升技術(shù)令人想到2018年1月最先公布的Spectre漏洞。然而研究人員表示，SPOILER的數(shù)據(jù)泄露“源于完全不同的硬件單元，即內(nèi)存順序緩沖”，因此目前的Spectre補(bǔ)丁無法解決該漏洞。

　　“SPOILER不同于Spectre攻擊，根本原因是英特爾內(nèi)存子系統(tǒng)中關(guān)于尋址的私有配置存在問題，導(dǎo)致由于物理地址沖突直接泄露定時(shí)行為。”

　　更嚴(yán)重的是，SPOILER漏洞會(huì)導(dǎo)致在任何操作系統(tǒng)中，沒有特別權(quán)限的用戶空間的數(shù)據(jù)泄露，也可以在虛擬機(jī)或沙箱環(huán)境中使用。來自SPOILER攻擊的泄露數(shù)據(jù)本身并沒有太大意義，但可以幫助提高當(dāng)前攻擊的效率，而黑客也可能利用新獲得的數(shù)據(jù)展開新形式的攻擊。