谷歌安全研究人員近日發現了一個新的 CPU 漏洞，影響英特爾臺式機、移動設備和服務器 CPU。

這個被稱為“ Reptar ”（CVE-2023-23583）的漏洞是谷歌研究人員今年迄今為止披露的第三個主要CPU漏洞，其次是 Downfall（CVE-2022-40982）和Zenbleed（CVE-2023-20593），影響了英特爾和 AMD CPU 分別。

圖片

根據谷歌發布的博客文章，Reptar 源于 Intel CPU 解釋冗余前綴的方式。

前綴通過啟用或禁用某些功能來修改 CPU 指令行為。通常，冗余前綴會被忽略。然而，Reptar 允許攻擊者利用 CPU 處理冗余前綴的方式繞過 CPU 的安全邊界。

此漏洞的安全波及的范圍巨大。研究人員證明，Reptar 可以在云和數據中心常見的多租戶虛擬化環境中被利用，導致主機崩潰并導致共享主機的其他Guest機器拒絕服務。還存在信息泄露或特權升級的可能性。

Reptar 是谷歌今年披露的第三個備受矚目的 CPU 漏洞。8 月，研究人員披露了 Downfall，它通過濫用 CPU 的特權環來繞過用于安全的沙箱技術，從而影響了 Intel CPU。幾周后，谷歌公布了有關 Zenbleed 通過利用處理器內核之間的延遲消息影響 AMD CPU 的詳細信息。

就 Reptar 而言，很明顯 CPU 仍然容易受到安全漏洞的影響，尤其是當它們變得越來越復雜時。谷歌最近發現了更多此類漏洞，如果不加以解決，可能會影響數十億臺設備。

谷歌繼續投入資源來主動識別硬件和 CPU 漏洞，影響。谷歌表示，內部發現 Reptar 后，他們迅速與英特爾和行業合作伙伴聯系，在其成為問題之前開發和測試緩解措施。

通過密切合作，已經推出緩解措施來保護用戶。在公開披露 Reptar 之前，谷歌確保其 Google Cloud 和 ChromeOS 等服務受到免疫。該公司認為這種協調一致的漏洞披露流程可以保證用戶的安全。

英特爾已為所有受影響的處理器發布了更新的微代碼。您的操作系統或 BIOS 供應商可能已經有可用的更新！

圖片

在英特爾公告中，鳴謝部分寫道：英特爾和幾乎整個科技行業都遵循一種名為“協調披露”的披露做法，根據該做法，網絡安全漏洞通常只有在采取緩解措施后才會公開披露。