欧美性爱在线视频看看,91秒拍国产福利一区,欧美日韩在线一区二区免费

研究人員利用JavaScript破解22款主流CPU防線

轉(zhuǎn)帖|行業(yè)資訊|編輯：龔雪|2017-02-21 09:50:36.000|閱讀 195 次

概述：來(lái)自阿姆斯特丹自由大學(xué)系統(tǒng)及網(wǎng)絡(luò)安全小組VUSec的研究人員本月15日揭露了一項(xiàng)攻擊技術(shù)，可繞過(guò)22款處理器的“位址空間配置隨機(jī)載入”（ASLR）保護(hù)，波及Intel、AMD、Nvidia及Samsung等處理器品牌。ASLR是許多操作系統(tǒng)的預(yù)設(shè)安全機(jī)制，它在虛擬位址空間中隨機(jī)配置應(yīng)用程序的代碼與資料，以提高黑客的攻擊門檻，被視為保護(hù)網(wǎng)絡(luò)用戶的第一道防線。

# 界面/圖表報(bào)表/文檔/IDE等千款熱門軟控件火熱銷售中 >>

（研究人員利用JavaScript破解英特爾等22款CPU的ASLR保護(hù)）

而ASLR的限制正是現(xiàn)代處理器管理內(nèi)存的基礎(chǔ)，VUSec研究人員打造了一個(gè)JavaScript攻擊程序可完全去除ASLR對(duì)處理器所帶來(lái)的安全保障。

研究人員解釋，處理器中的內(nèi)存管理單元（MMU）是借由快取階層來(lái)改善搜尋頁(yè)表的效率，但它同時(shí)也會(huì)被其他程序利用，像是瀏覽器中所執(zhí)行的JavaScript。

于是他們打造了名為ASLRCache（AnC）的旁路攻擊（side-channelattack）程序，可在MMU進(jìn)行頁(yè)表搜尋時(shí)偵測(cè)頁(yè)表位置。

安全研究人員開(kāi)發(fā)了AnC的原生版本與JavaScript版本，通過(guò)原生版本來(lái)建立可在22款處理器上觀察到的MMU訊號(hào)，再以JavaScript版本找出Firefox及Chrome瀏覽器上的程序碼指標(biāo)與堆積指標(biāo)，計(jì)算出檔案的實(shí)際位址，最快只要25秒就能讓ASLR的保護(hù)消失無(wú)蹤。

現(xiàn)階段VUSec已釋出AnC的原生版本以供研究使用，但為了維護(hù)網(wǎng)絡(luò)使用者的安全，并不打算發(fā)表JavaScript版本。即便如此，研究人員仍然預(yù)期任何擁有較高能力的黑客在幾周內(nèi)就可復(fù)制相關(guān)的攻擊程序。

VUSec警告，由于AnC攻擊程序利用的是處理器的基本屬性，現(xiàn)在是無(wú)解的，對(duì)使用者而言，唯一的防范之道就是不執(zhí)行可疑的JavaScript程式，或是直接在瀏覽器上安裝可封鎖JavaScript的插件。

其實(shí)AnC早在去年10月就出爐了，但當(dāng)時(shí)VUSec決定先行知會(huì)相關(guān)業(yè)者，包括處理器、瀏覽器與操作系統(tǒng)領(lǐng)域，一直到本周才對(duì)外公開(kāi)。（稿源：）