针对Chrome浏览器的Spectre漏洞概念验证代码被公开

2021年3月16日，据国外网络安全媒体threatpost报道，谷歌公司近日发布了利用Spectre漏洞针对Chrome浏览器进行攻击的概念验证代码。该代码使用JavaScript语言编写，可在基于英特尔Skylake CPU的Chrome 88版本上运行，允许攻击者以1kB/s的速度获取设备内存中的数据。谷歌研究人员推测，该代码或可同时适用于其他处理器、操作系统和浏览器。 Spectre漏洞是一个存在于分支预测实现中的硬件缺陷及安全漏洞，含有预测执行功能的现代微处理器均受其影响。漏洞原理是利用基于时间的旁路攻击，允许恶意进程获得其他程序在映射内存中的数据内容。Spectre漏洞可影响Intel、AMD处理器以及Android、ChromeOS、Linux、macOS和Windows等操作系统。漏洞被披露后，硬件和软件制造商以及浏览器开发者发布了各种可用于缓解此类攻击的措施。Spectre漏洞所影响的设备范围广泛，漏洞利用代码公开后很可能被网络攻击者滥用，攻击者可构造钓鱼网站，或入侵合法网站后篡改嵌入可利用漏洞的恶意脚本，攻击可能导致敏感数据泄露，具有很强的危害性。建议我国用户尽快将浏览器升级到最新版本以缓解风险。