哥伦比亚大学的四位研究人员设想了这种攻击:通过恶意网络,然后计算数据到达CPU三级缓存的时间,进而推断用户正在进行的具体操作。研究人员提醒谷歌、微软、火狐、苹果尽快升级自家的浏览器,以封堵该新型攻击向量。不过目前还没有补丁发布。这种攻击方式成本极低,特别适合三流黑客使用。使用这种弹窗攻击方式的人,可能和那些成天张贴网络小广告的是同一拨人,这样他们在烦你的同时还能追踪你。”研究人员发表的论文中提到,受害者不需要做任何事情,只是访问带有恶意JS的网页就有可能遭到这种攻击。
这种攻击方式能够让一个进程收集与之并行的其它进程的信息。不管是进程、用户、还是虚拟机,只要和加载JS的进程公用同一个CPU,相关信息都会暴露。一旦CPU加载了恶意的JavaScript进程,它就会将缓存装填为特定状态,然后等待用户进行某个操作,比如按下按键,进而用浏览器自带的高精度计时器记录操作信息通过内存块的时间。如果某个执行周期比其它的完成得更快,此时内存块就还在缓存里。有了这个信息,攻击者可以绘制内存对按下按键和鼠标移动的反应情况,进而重塑用户使用情景。
英文电脑相关
inline expansion 行内展开 内联展开
initialization 初始化(动作) 初始化
initialization list 初值列 初始值列表
initialize 初始化 初始化
inner class 内隐类别 内嵌类
instance 实体 实例
(根据某种表述而实际产生的「东西」)
instantiated 具现化、实体化(常应用於 template) 实例化
instantiation 具现体、具现化实体(常应用於 template) 实例
integer (integral) 整数(的) 整型(的)
integrate 整合 集成
interacts 交谈、互动 交互
interface 介面 接口
