谷歌发现新的英特尔CPU漏洞：Reptar

谷歌安全研究人员发现了一个新的 CPU 漏洞，影响英特尔台式机、移动设备和服务器 CPU。 

这个被称为“ Reptar ”（CVE-2023-23583）的漏洞是谷歌研究人员今年迄今为止披露的第三个主要CPU漏洞，其次是 Downfall（CVE-2022-40982）和Zenbleed（CVE-2023-20593），分别影响了英特尔和 AMD CPU 。

这个漏洞的安全影响是巨大的。研究人员演示了 Reptar 可在多租户虚拟化环境（常见于云和数据中心）中被利用，导致主机崩溃，并对共享主机的其他客户机造成拒绝服务。该漏洞还可能导致信息泄露或权限升级。

根据Google发布的博客文章，Reptar 源于 Intel CPU 解释冗余前缀的方式。 前缀通过启用或禁用某些功能来修改 CPU 指令行为。通常情况下，冗余前缀会被忽略。然而，Reptar 允许攻击者利用 CPU 处理冗余前缀的方式，绕过 CPU 的安全边界。

从 Reptar 事件可以看出，CPU 仍然容易受到安全漏洞的攻击，尤其是当 CPU 越来越复杂的时候。谷歌最近发现此类漏洞越来越多，如果不加以解决，可能会影响数十亿台设备。

谷歌表示，在内部发现 Reptar 漏洞后，他们迅速与英特尔和行业合作伙伴合作，开发和测试缓解措施，以避免问题恶化。

通过密切合作，缓解措施已经推出，以保护用户。在公开披露 Reptar 之前，谷歌确保其谷歌云和 ChromeOS 等服务已获得免疫。该公司认为，这种协调的漏洞披露流程保证了用户的安全。

英特尔发布了所有受影响处理器的更新微码。您的操作系统或 BIOS 供应商可能已经提供了更新！