当前位置: 主页 > 科技生活 >

JavaScript超级BUG!X86/ARM处理器全部悲剧:瞬间破解

时间:2017-02-21 16:27    来源:青青草原WiFi    阅读:

来自阿姆斯特丹自由大学系统及网络安全小组VUSec的研究人员本月15日揭露了一项攻击技术,可绕过22款处理器的“位址空间配置随机载入”(ASLR)保护,波及Intel、AMD、Nvidia及Samsung等处理器品牌。


ASLR是许多操作系统的预设安全机制,它在虚拟位址空间中随机配置应用程序的代码与资料,以提高黑客的攻击门槛,被视为保护网络用户的第一道防线。

而ASLR的限制正是现代处理器管理内存的基础,VUSec研究人员打造了一个JavaScript攻击程序可完全去除ASLR对处理器所带来的安全保障。
  
研究人员解释,处理器中的内存管理单元(MMU)是借由快取阶层来改善搜寻页表的效率,但它同时也会被其他程序利用,像是浏览器中所执行的JavaScript。

于是他们打造了名为ASLRCache(AnC)的旁路攻击(side-channelattack)程序,可在MMU进行页表搜寻时侦测页表位置。
  
安全研究人员开发了AnC的原生版本与JavaScript版本,通过原生版本来建立可在22款处理器上观察到的MMU讯号,再以JavaScript版本找出Firefox及Chrome浏览器上的程序码指标与堆积指标,计算出档案的实际位址,最快只要25秒就能让ASLR的保护消失无踪。
  
现阶段VUSec已释出AnC的原生版本以供研究使用,但为了维护网络使用者的安全,并不打算发表JavaScript版本。即便如此,研究人员仍然预期任何拥有较高能力的黑客在几周内就可复制相关的攻击程序。
  
VUSec警告,由于AnC攻击程序利用的是处理器的基本属性,现在是无解的,对使用者而言,唯一的防范之道就是不执行可疑的JavaScript程式,或是直接在浏览器上安装可封锁JavaScript的插件。
  
其实AnC早在去年10月就出炉了,但当时VUSec决定先行知会相关业者,包括处理器、浏览器与操作系统领域,一直到本周才对外公开。

(注:本文来自互联网,不代表本站的观点和立场,如侵犯了您的权益,请您告知,邮件2790325351@qq.com联系我们删除,谢谢。)

标签: x86 ARM 处理器 破解 漏洞 JavaScript JS

最新文章

·高通证实已获得对华为供货4G芯片许可:

·iPhone 12换机微信迁移太慢遭吐槽 网友

·乐高发布史上最大套装“罗马斗兽场”:

·真香!拼多多百亿补贴 iPhone 12 mini

·DXO预告iPhone 12 Pro Max摄像头评测:

·网飞续订《太空军》第二季

·拼多多股价大涨近13% 市值超1800亿美元

·300万宾利加错95号汽油 车主怒扇加油员

热点文章

·2016年《我国互联网络发展状况统计报告

·我国联通推出国际及港澳台包天流量套餐

·299元4G全网通 小米随身路由紫米MF855

·Moto360和Ticwatch对比评测

·小牛N1电动车入手开箱细节图组

·公牛小白插线板与小米插线板对比评测

·千元指纹手机 纽曼CM810|纽曼纽扣手机

·华为荣耀7i手机详细评测:自拍神器可翻