美国安全专家称，美国计算机应急响应小组(US-CERT)已经在英特尔芯片上发现了一个漏洞，该漏洞可以让黑客获得对Windows和其他操作系统的控制权。

这一漏洞是US-CERT上周发布的一份安全通告所披露的。通告称，黑客可利用该漏洞执行内核权限级别的恶意代码。

US-CERT的通告称，“一些运行在英特尔CPU硬件上的64位操作系统和虚拟化软件极易遭遇本地权限提升攻击。黑客可利用此漏洞提升本地权限，或是进行guest-to-host虚拟机逃逸。”

英特尔尚未对此通告发表评论。

可能遭遇此漏洞攻击的操作系统包括Windows 7、Windows Server 2008 R2、64位FreeBSD和NetBSD，以及Xen hypervisor等。安全博客Bitdefender称，“虽然32位操作系统是安全的，但是如果英特尔CPU使用了英特尔的64位扩展，就需要用微软发布的MS12-042安全通告中发布的安全补丁。”

据Xen社区博客称，该漏洞源自CPU在处理SYSRET指令集时产生的执行错误，该指令集是AMD所定义的x86-64标准的一部分。“如果某个操作系统是按照AMD的标准编写的，但是跑在英特尔的硬件上，那么具体实现上的差异就可能被攻击者所利用，可提取操作系统内存中任意地址的内容。”

Bitdefender博客称，AMD处理器和VMware虚拟化软件不受影响，因为它们没有使用SYSRET指令集。

US-CERT称，除微软和英特尔外，可能受到该漏洞影响的厂商还包括Joyent、Citrix、Oracle、红帽和SUSE Linux等。

【编辑推荐】

1. 八成网站登录密码存漏洞 网络电商成重灾区
2. MySQL漏洞可令攻击者绕过密码验证
3. 微软：新的IE零日攻击漏洞可劫持Gmail账户
4. 微软“黑八”漏洞已被利用传播 IE恶梦重演
5. Intel CPU漏洞导致64位操作系统、虚拟化软件易受黑客攻击

　　推荐阅读

　　MySQL漏洞可令攻击者绕过密码验证

安全研究人员已披露了MySQL服务器上一个漏洞的细节，该漏洞有可能会让潜在的攻击者不必输入正确的身份证书便可访问MySQL数据库。该漏洞被确认为CVE-2012-2122,号漏洞，已经在五月发布的MySQL 5.1.63和5.5.25版本中得>>>详细阅读

本文标题：英特尔芯片存在致命漏洞 波及多款操作系统

地址：http://www.17bianji.com/anquan/buding/9503.html

 1/2    1