英特尔CPU曝出名为 Reptar 高危漏洞，可绕过安全机制提权

英特尔发布了修复程序来解决代号为 Reptar 的高危安全漏洞，该漏洞会影响其台式机、移动设备和服务器CPU。该漏洞的编号为 CVE-2023-23583（CVSS 评分：8.8），有可能允许通过本地访问提升权限，造成信息泄露或拒绝服务攻击等。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，成功利用该漏洞还可能绕过 CPU 的安全边界，安全研究人员将其描述为源于处理器如何解释冗余前缀的问题。

当攻击者在多租户虚拟化环境中利用此漏洞时，就会体现出其影响，因为对来宾计算机的利用会导致主机崩溃，从而导致对同一主机上运行的其他来宾计算机造成拒绝服务。此外，该漏洞可能会导致信息泄露或权限提升。

安全研究人员在对 Reptar 的另一项分析中表示，它可能被滥用来破坏系统状态并强制出现机器检查异常。

作为 2023 年 11 月更新的一部分，英特尔已发布所有受影响处理器的更新微代码。此处提供了受 CVE-2023-23583 影响的 Intel CPU 的完整列表。没有证据表明有任何利用此漏洞的主动攻击。

此次披露恰逢 AMD 处理器中名为CacheWarp (CVE-2023-20592) 的安全漏洞的补丁发布，该漏洞可让恶意行为者闯入受 AMD SEV 保护的虚拟机以提升权限并获得远程代码执行。