最近，微軟公布新一輪漏洞公告，向國(guó)內(nèi)團(tuán)隊(duì)公開致謝——360公司、清華大學(xué)硬件安全和密碼芯片實(shí)驗(yàn)室共同發(fā)現(xiàn)了新的CPU漏洞，這一漏洞被歸類為L(zhǎng)1TF。這是國(guó)內(nèi)安全人員首次發(fā)現(xiàn)CPU漏洞。

目前發(fā)現(xiàn)，此類漏洞只影響英特爾CPU。360CERT安全專家表示，這次曝出的漏洞，沒有“熔斷”和“幽靈”級(jí)別的威力，不能任意獲取內(nèi)存。并且目前的攻擊方法獨(dú)立使用不能精準(zhǔn)地獲取目標(biāo)內(nèi)存，需要其他漏洞配合才能實(shí)現(xiàn)，這就給攻擊者們帶來(lái)不小的難度。

但是即便如此，它仍然不可小覷——微軟之前針對(duì)CPU漏洞提出的一些緩解措施，如KPTI，對(duì)于這一漏洞是無(wú)效的。

安全專家表示，本次發(fā)現(xiàn)的漏洞，如果被黑客利用，其極限能力可能對(duì)瀏覽器內(nèi)存數(shù)據(jù)、虛擬機(jī)，甚至內(nèi)核隱私數(shù)據(jù)進(jìn)行盜取。對(duì)普通網(wǎng)民來(lái)說，你的社交媒體賬號(hào)，設(shè)置隱私權(quán)限的私密相冊(cè)等，都可能存在被盜取的風(fēng)險(xiǎn)。不過，由于漏洞利用難度高，且無(wú)法獨(dú)立直接用于精準(zhǔn)竊取隱私，威脅不大，相關(guān)用戶無(wú)需過分恐慌。

關(guān)鍵詞： 微軟 中國(guó) 漏洞