本文讲的是 Rowhammer ——研究者开发出基于网页攻击计算机的方法,计算机的DRAM(动态随机存储)有意的干扰下存在脆弱性的问题,早已在几年前就为人所知。但最新的一篇技术论文,披露了如何通过网页实现对漏洞的利用。芯片厂商不得不尽快找到一个应对所谓的“Rowhammer”漏洞的解决方案了。
为了节省空间并增大容量,DRAM存储单元紧密的排在一起,但这种高效的技术却带来了安全上的成本,它非常容易受到电子干扰。
不断重复的“敲打”(访问)一排存储单元可以引起邻近的单元改变它们的二进制值,此为Rowhammerg一词的由来。这种事情本来被认为只是一种电子芯片工作稳定性的问题,但现在它已经成了一个计算机安全问题。
谷歌的安全研究人员在今年初就开发出了两个利用程序,一个可以提升权限,另一个可通过网页上的JavaScript实现攻击。他们的概念验证代码,一段js脚本,已经在火狐浏览器上成功实现。这种攻击方法可以应用于任何架构、编程语言和运行时间环境,受影响的设备包括各种类型的计算机,并无关操作系统,威胁巨大。
至今为止,研究人员还没有开发出一个能够利用Rowhammer获得root权限的利用程序,但他们认为攻击者迟早可以扩展利用这个漏洞的能力。除非找解决Rowhammer的长期解决方案,否则用户在打开含有JavaScript的网站时就只能祈祷了。
一个暂时的解决方案就是完全禁止JavaScript,但在一个用JavaScript实现各种网页功能的网络世界,这似乎不太现实。
原文发布时间为:七月 31, 2015
本文作者:Recco
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/threat-alert/9194.html
