研究人员解释说通过CPU预测加载数据技术能分辨出CPU随机加载内存页面地址的逻辑并从中获取其信息。这个漏洞在用户空间执行，并不需要特殊权限。不同于类似Rowhammer和cache attack的侧信道攻击，利用Spoiler漏洞可以加速攻击速度。同时这个漏洞不仅可以在物理机内执行，同时也可以在虚拟机环境和沙盒环境中执行，甚至是在如浏览器常用的JavaScript这样的运行时环境中。

而在测试那些硬件会受到影响时，研究人员发现不同于幽灵和熔断漏洞，Spoiler漏洞只在Intel处理器中有效，在相同指令集的AMD处理器和和不同指令集的ARM处理器中并不适用。同时这个漏洞从第一代酷睿处理器开始就存在了，而且是硬件问题，在不同的操作系统中都存在。

在论文中研究人员表示作为硬件漏洞，可能不会有任何软件修复补丁，同时也如同一年前的幽灵和熔断漏洞一样会影响CPU性能。而根据phoronix的报道，Intel的发言人回应了这个问题，说他们已经收到了研究人员的通知，保护用户的信息安全是他们的工作，非常感谢安全社区研究他们的产品。但是到目前为止无论是Intel还是研究人员都没有提供软件或硬件安全补丁。

近年来信息安全越发被人们重视，而近几年无论是IoT设备还是PC领域，硬件的安全漏洞却越来越多。这些漏洞并不容易修复，而且带来的影响更大。厂商在不断提高产品性能的同时，也需要在安全性上多加考虑，才能避免这种事情不断地发生。

但是苹果到目前并没有修复这两个漏洞，这也引发了公众对苹果态度的批评。而苹果公司为提高产品的安全性，已在2016年就推出了漏洞赏金计划，但是在整个计划的运作上并不积极。苹果最近一直在非常被动的接受漏洞的反馈，在修复是也不够积极。在一月时就出现过FaceTime视频聊天的漏洞，但是苹果并没有第一时间响应，而是等到问题扩大后才发现漏洞的严重性，然后才提供一个补丁来修补这个漏洞，同时为漏洞的发现者提供一定的奖励。

虽然苹果提供的奖励很丰厚，但是他们也在考虑所有的风险。所以在会造成钥匙串泄露的漏洞发现者，因为后果严重性考虑而自愿免费为苹果提供详细细节而得不到任何奖励。好消息是，苹果将开始重视这个问题。虽然钥匙串漏洞还没有具体修复时间，但是苹果已经在与Project Zero团队合作评估如何进行修复，并打算在未来的系统版本中解决写入时拷贝的漏洞。

Theo de Raadt是OpenBSD的创始人，而OpenBSD也是类Unix的一个发行版，在一些行业中也有使用，影响力还是很大的。对于英特尔处理器爆出的漏洞，Theo de Raadt的态度一直很激烈，今年6月份的时候他就提到OpenBSD操作系统将默认关闭英特尔的SMT多线程技术（英特尔方面的具体称呼是HT超线程），这种技术通常需要共享TLB缓存及L1缓存数据，这就给了幽灵漏洞这样的侧信道攻击方式有了可乘之机，这也是OpenBSD决定默认禁用HT超线程技术的原因。

在英特尔爆出新的漏洞之后，Theo de Raadt又一次发表了公告，呼吁大家禁用SMT多线程技术，他认为英特尔的SMT多线程技术会加剧漏洞风险，导致系统更容易被攻击，所以希望大家升级固件，并且在BIOS关闭SMT多线程技术。

此外，他还确认了下一个发行版OpenBSD 6.4将默认禁止超线程技术，而现有的OpenBSD 6.2及OpenBSD 6.3由于他们精力有限，无法单独发布勘误表，所以他建议大家对自己负责——在BIOS中禁用SMT多线程技术，并且升级BIOS固件。

有意思的是，他在文末最后一句提到他将来要把钱花在值得信赖的供应商身上，言辞之中对英特尔处理器频繁爆出漏洞颇为不满。

早前爆出的Spectre幽灵、Meltown熔断两个漏洞及其变种修复的差不多了，这次惹出事端的主要是新出现的Foreshadow预兆漏洞，英特尔称之为L1TF漏洞，主要有三个变种，英特尔编号为L1TF-SGX、L1TF-OS/SMM、L1TF-VMM，主要影响英特尔处理器的SFX、SMM及VMM功能，不过其中第一个漏洞评分7.9分，危险性很高。

虽然这个漏洞会影响英特尔的多个系列Core及Xeon处理器，但是这个漏洞对性能的影响并不大，因为大部分影响的都是虚拟服务器等企业级相关的性能，对普通用户来说大家只要知道这次的漏洞修复并不影响PC客户端、数据中心处理器的性能即可，只在某些特定情况下才有可能影响虚拟机客户端的性能。

但是虚拟机主要是企业级客户在用，英特尔大概是怕这方面的测试会影响客户，所以在L1TF漏洞修复补丁改变了许可证协议，其中新增了一条之前没有协议——任何接受微代码升级的都不能发布或者提供任何软件基准测试或者对比测试结果，换句话说英特尔就是禁止那些受到L1TF漏洞影响的客户公布性能损失的测试结果。

这件事引发了Linux社区的不满，Debian社区尤其不认可英特尔的这种做法，并发文指责英特尔的做法会让客户产生不信任感。这事经过媒体曝光之后，英特尔似乎也感受到了压力，已经改变了之前的态度。

来自Hardwareluxx网站的消息称，英特尔已经针对此事发表了评论，表示“作为开源社区的积极成员，我们将继续欢迎所有反馈。”，根据他们的消息，英特尔将修改许可条款，允许发布包括基准测试在内的各种反馈结果。

年初爆出的Spectre幽灵、Meltwon熔断以及最近爆出的Foreshadow预兆等漏洞衍生出了至少6个变种，其中不少变种都是基于侧信道攻击的原理，而这又跟现代处理器的预测执行单元有关，这是提高处理器性能的一个重要设计，有的还会影响处理器的HT超线程技术，这也是为什么英特尔修复漏洞会导致处理器性能下降的重要原因。

英特尔修复X86漏洞会导致部分CPU性能下降

对于性能下降的影响，英特尔之前有过官方测试，绝大多数应用中性能影响非常小，但部分应用中修复漏洞会导致性能明显下降，降幅有5-20%。不过这些测试还是针对桌面处理器的，对服务器处理器来说，它们对多线程的优化更好，性能影响的比例可能更大。

对英特尔来说自然不愿意让人知道修复漏洞会对性能造成影响，Debian社区日前发表了一篇博文，提到了英特尔推出了新的许可证要求，要想更新他们的处理器微代码，就要遵守英特尔的一些规定，其中大部分都是常规法律要求，但是有一条引发了Debian社区不满。

这一条要求任何接受微代码升级的都不能发布或者提供任何软件基准测试或者对比测试结果，简单说就是你要想升级英特尔的漏洞修复补丁，那就得闭嘴，不能跟人说升级补丁之后处理器性能是否下降了或者下降了多少。

Debian社区不认可英特尔的这种做法，认为正确的方法应该是承担错误、推出解决方法，并与客户解决问题，而隐瞒（升级补丁后）后果是不可接受的做法，这样会让客户产生不信任感。

本次涉及的XXE漏洞其实很容易被忽略，全称是XML外部实体注入漏洞，利用 XML 外部实体加载注入，执行不可预控的代码，可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。

利用这个漏洞，可以在微信支付交易过程，使用通知URL回传信息构造恶意数据，读取商家服务器信息，一旦攻击者获得商家的关键安全密钥md5-key，就可以通过发送伪造的信息来欺骗商家而无需付费购买任意商品。

比较有趣的是，如此重量级的金融交易漏洞为什么会被大规模传播？

漏洞率先公布在seclists.org网站上，但由于不知道如何联系微信安全团队，转而在Twitter上@360Netlab，最后由360网络安全实验室转告给微信安全团队。

另外有人发现，虽然漏洞发布于国外，但选择尝试攻击的是vivo以及陌陌两家公司，同时文章虽然是英文撰写，但留有中文字符，有可能是国内的技术人员冒充外国人发布漏洞详情。

更值得思考的是，这种漏洞极具价值，为什么选择大规模公开，有白帽子推断这可能是黑客在使用过程中发现，自己落下了马脚，留下了信息，大规模公布漏洞可以让大量黑客尝试攻击并使用这个漏洞，让自己最初的破绽被众多攻击信息淹没，企图逃过一劫。

如果你是正在使用微信支付Java SDK的商户，请注意今天中午微信对该SDK进行的漏洞封堵升级，这个关系到用户数据以及金钱问题，千万要注意了。

在最新一轮CPU微代码更新中，头三代酷睿处理器也或得了升级，包括初代的Westmere和Lynnfield，第二代的Sandy Bridge和第三代的Ivy Bidge，这下子将近10年内的处理器都获得了修复补丁，虽然Intel提供了升级代码，然而用户是否会获得BIOS的升级这还得看主板厂商是否愿意去做了，毕竟这些主板确实太古老了，基本都EOL的东西，前端时间9系列主板升级BIOS都全部按Beta BIOS来推了，更早之前的主板都不知道什么时候才会有BIOS升级。

不过Lynnfield估计也是获得代码升级的年份上限了，因为此前Intel就表示过2007-2008年间的Penryn、Yorkfield、Wolfdale、Bloomfield、Clarksfield系列处理器是不会获得“幽灵”漏洞的微代码更新，其实Clarksfield甚至比Lynnfield还要新一点，反而不对它进行漏洞修复，真是奇怪。

这次发现的漏洞与Lazy FP state restore（暂译为惰性浮点单元状态还原）技术有关，系统软件可以利用它来延迟还原状态，直到该状态下运行的指令新的进程执行为止。在英特尔酷睿处理器上发现了一个漏洞，通过这个漏洞，系统可能允许本地进行使用侧信道攻击的方式从另一个进行的惰性浮点单元状态还原中来预测数据。

英特尔表示这个漏洞将影响Core酷睿系列处理器，其他报道称将影响SNB及之后的所有处理器，这意味着大多数人使用的Core处理器都会中招。目前英特尔已经在跟多个系统供应商合作以期早日推出针对该漏洞的补丁。

360安全卫士刚刚报道了EOS的漏洞，他们的Vulcan（伏尔甘）团队发现了区块链平台EOS的一系列高危安全漏洞。经过验证，其中部分漏洞可以在EOS节点上远程执行任意代码，即可以通过远程攻击，直接控制和接管EOS上运行的所有节点。

由于区块链网络去中心化的计算特点，一个区块链节点实现上的安全漏洞，可能引发成千上万的节点遭到攻击。甚至，在传统软件漏洞领域被认为相对危害较小的拒绝服务漏洞，在区块链网络中则可能引发整个网络瘫痪的风暴攻击，对整个数字货币系统造成巨大冲击。

在攻击中，攻击者会构造并发布包含恶意代码的智能合约，EOS超级节点将会执行这个恶意合约，并触发其中的安全漏洞。攻击者再利用超级节点将恶意合约打包进新的区块，进而导致网络中所有全节点（备选超级节点、交易所充值提现节点、数字货币钱包服务器节点等）被远程控制。由于已经完全控制了节点的系统，攻击者可以“为所欲为”，如窃取EOS超级节点的密钥，控制EOS网络的虚拟货币交易；获取EOS网络参与节点系统中的其他金融和隐私数据，例如交易所中的数字货币、保存在钱包中的用户密钥、关键的用户资料和隐私数据等等。更有甚者，攻击者可以将EOS网络中的节点变为僵尸网络中的一员，发动网络攻击或变成免费“矿工”，挖取其他数字货币。

29日凌晨，360第一时间将该类漏洞上报EOS官方，并协助其修复安全隐患。EOS网络负责人表示，在修复这些问题之前，不会将EOS网络正式上线。