Rowhammer ——研究者开发出基于网页攻击计算机的方法

作者:星期五, 七月 31, 20150
分享:

计算机的DRAM(动态随机存储)有意的干扰下存在脆弱性的问题,早已在几年前就为人所知。但最新的一篇技术论文,披露了如何通过网页实现对漏洞的利用。芯片厂商不得不尽快找到一个应对所谓的“Rowhammer”漏洞的解决方案了。

640.webp (59)

为了节省空间并增大容量,DRAM存储单元紧密的排在一起,但这种高效的技术却带来了安全上的成本,它非常容易受到电子干扰。

不断重复的“敲打”(访问)一排存储单元可以引起邻近的单元改变它们的二进制值,此为Rowhammerg一词的由来。这种事情本来被认为只是一种电子芯片工作稳定性的问题,但现在它已经成了一个计算机安全问题。

谷歌的安全研究人员在今年初就开发出了两个利用程序,一个可以提升权限,另一个可通过网页上的JavaScript实现攻击。他们的概念验证代码,一段js脚本,已经在火狐浏览器上成功实现。这种攻击方法可以应用于任何架构、编程语言和运行时间环境,受影响的设备包括各种类型的计算机,并无关操作系统,威胁巨大。

至今为止,研究人员还没有开发出一个能够利用Rowhammer获得root权限的利用程序,但他们认为攻击者迟早可以扩展利用这个漏洞的能力。除非找解决Rowhammer的长期解决方案,否则用户在打开含有JavaScript的网站时就只能祈祷了。

一个暂时的解决方案就是完全禁止JavaScript,但在一个用JavaScript实现各种网页功能的网络世界,这似乎不太现实。

相关阅读 谷歌发现Rowhammer内存漏洞 可摧毁笔记本电脑安全

 

关键词:
分享:

相关文章

写一条评论

 

 

0条评论