一位安全研究人员发现了几个有效的Spectre漏洞，这些漏洞已于上个月上传到VirusTotal数据库。Spectre与Meltdown一起是两个极其严重的硬件漏洞，它们会影响Intel，IBM POWER和某些基于ARM的处理器。

尽管英特尔此后已在较新的处理器中实施了缓解该漏洞的硬件措施，但较旧的处理器却不得不依靠性能下降带来的软件修复，从而阻止了其一揽子使用。这意味着仍然有许多系统容易受到安全研究员Julien Voisin最近发现的攻击的影响。

“有人愚蠢到上个月在VirusTotal上上传了一个适用于Linux的有效Spectre（CVE-2017-5753）漏洞利用程序（还有一个我没有看过的Windows漏洞利用程序），” Voisin在分析这两个漏洞利用时写道详细地。

工作漏洞

根据BleepingComputer对Voisin的摘要的阅读，看来，在未打补丁的系统上，该漏洞利用允许未授权的用户读取在Windows和Linux中都存储用户密码的文件的内容。

Voisin能够在他的实验室中在运行Fedora的未打补丁的计算机上成功使用该漏洞利用程序。

在随后的讨论中，发现该漏洞利用程序是一个更大的软件包的一部分，该软件包的名称似乎表明它是Canvas渗透测试工具的一部分。有趣的是，正如BleepingComputer指出的那样，Canvas在广告中宣称，它已经有超过三年的可用于Windows和Linux的Spectre漏洞利用程序了。

在Voisin最初的分析之时，这两种漏洞利用的检测率都为零。但是，在提交此报告时，已经教导了二十个引擎来标记这些漏洞。

Spectre and Meltdown在2018年首次引起人们的关注，当时在2018年发现过去20年生产的所有Intel CPU都容易受到“灾难性的”  Spectre and Meltdown漏洞的攻击。

这些硬件缺陷使普通用户程序（例如，数据库应用程序和Web浏览器中的java script）能够识别易受攻击的芯片的受保护内核存储区的某些布局或内容。