Intel 的 Core 處理器再次爆出漏洞。據 Intel 表示,今次發現的「 延遲 FP 狀態恢復( Lazy FP state restore )」漏洞,與年初被發現的 Spectre 和 Meltdown 漏洞,同屬「推測性執行旁路攻擊( Speculative Execution Side-Channel attacks )」,可能會導致敏感資料流出。
據 Intel 的公告指, Core 處理器有一個名為「延遲 FP 狀態恢復」的功能,而利用它的漏洞,就有可能會允許一個本地進程使用「延遲 FP 狀態恢復」,來推斷另一個進程的數據。
技術網站 Bleeping Computer 指出,這個漏洞對 Windows 和 Linux 等所有作業系統都有影響,不過由於難以透過瀏覽器去攻擊對象,運用上就相對較 Meltdown 困難,所以 CVSS 評價這個漏洞的分數為最高 10 分中的 4.3 分,風險屬中。
與過去 Meltdown 等漏洞不同,今次的漏洞不用等 Intel 釋出 Microcode 來修補,只要 OS 推出更新就可以處理。而 Microsoft 就表示在 Windows 系統裡「延遲 FP 狀態恢復」是預設開啟,而且用戶是無法自行關閉的。他們表示會在每月例行保安更新中推出修補檔。
