據(jù)外電報(bào)道�����,網(wǎng)絡(luò)安全研究人員周三披露了兩個(gè)安全漏洞。他們表示,這兩個(gè)漏洞存在于英特爾���、AMD和ARM架構(gòu)的芯片當(dāng)中,能夠讓黑客盜取幾乎所有的現(xiàn)代計(jì)算設(shè)備中的敏感信息��。
其中的一個(gè)漏洞只存在于英特爾芯片中����,但另一個(gè)漏洞影響到了包括筆記本電腦、臺(tái)式機(jī)���、智能手機(jī)�、平板電腦和互聯(lián)網(wǎng)服務(wù)器在內(nèi)的所有硬件設(shè)備��。英特爾和ARM堅(jiān)持認(rèn)為,該問(wèn)題不屬于設(shè)計(jì)缺陷�,但仍要求用戶下載補(bǔ)丁,對(duì)操作系統(tǒng)進(jìn)行更新來(lái)修復(fù)它��。“手機(jī)�����、PC���、所有的一切都將受到影響���,但影響會(huì)因?yàn)楫a(chǎn)品的不同而有區(qū)別,”英特爾首席執(zhí)行官科再齊(Brian Krzanich)周三在接受采訪時(shí)表示����。
谷歌互聯(lián)網(wǎng)安全項(xiàng)目Project Zero的研究人員和來(lái)自數(shù)個(gè)國(guó)家的學(xué)術(shù)界和科技產(chǎn)業(yè)研究人員�����,共同發(fā)現(xiàn)了上述兩個(gè)安全漏洞���。第一款漏洞稱(chēng)為“熔斷”(Meltdown)�����。它影響的是英特爾芯片�,讓黑客繞過(guò)由用戶運(yùn)行的應(yīng)用程序和計(jì)算機(jī)內(nèi)存之間的硬件屏障,能夠讓黑客讀取計(jì)算機(jī)內(nèi)存數(shù)據(jù)�����,并竊取密碼�����。第二個(gè)漏洞稱(chēng)為“幽靈”(Spectre)���,影響到英特爾�����、AMD和ARM架構(gòu)的芯片���,讓黑客能夠誘騙其他無(wú)錯(cuò)誤的應(yīng)用程序放棄機(jī)密信息。
研究人員表示�,微軟和蘋(píng)果兩家公司已為用戶發(fā)布了受“熔斷”影響的臺(tái)式機(jī)補(bǔ)丁。截至目前����,上述兩家公司均對(duì)此未予置評(píng)��。
發(fā)現(xiàn)“熔斷”漏洞的格拉茨工業(yè)大學(xué)丹尼爾-格魯斯(Daniel Gruss)表示�����,“‘熔斷’可能是迄今為止發(fā)現(xiàn)的最糟糕的處理器漏洞之一����。”他表示��,“熔斷”在短期內(nèi)是非常嚴(yán)重的問(wèn)題��,但通過(guò)軟件補(bǔ)丁能夠修復(fù)這一問(wèn)題���。與此同時(shí)��,幾乎影響到所有計(jì)算設(shè)備的“幽靈”,雖然很難被黑客利用����,但也很難修復(fù)。格魯斯說(shuō)����,從長(zhǎng)期來(lái)看��,“幽靈”將會(huì)是更嚴(yán)重的問(wèn)題�����。
科再齊在接受CNBC采訪時(shí)稱(chēng)����,他對(duì)黑客尚未利用這一漏洞“相對(duì)自信”�,且整個(gè)產(chǎn)業(yè)攜手處理這一問(wèn)題已有幾個(gè)月時(shí)間。“我們沒(méi)有發(fā)現(xiàn)有黑客利用這一漏洞的事例���,現(xiàn)在測(cè)試的修補(bǔ)程序是為了防止未來(lái)的黑客攻擊��,”他說(shuō)�����。他還表示�,谷歌的研究人員“不久之前”告知公司的芯片存在安全漏洞���,英特爾將從下周起著手修復(fù)這一漏洞��。
谷歌則在官方博客中表示�����,英特爾和其他公司員工計(jì)劃在1月9日正式對(duì)外公布這一問(wèn)題��。谷歌稱(chēng)���,該公司在2017年6月1日向受影響的公司告知了“幽靈”漏洞��,并在2017年7月28日又向他們告知了“熔斷”漏洞���。
英國(guó)媒體The Register周二率先報(bào)道了漏洞問(wèn)題。該媒體還指出����,Windows、Linux的系統(tǒng)更新將會(huì)影響英特爾產(chǎn)品的性能���,預(yù)計(jì)會(huì)導(dǎo)致英特爾芯片速度放慢5%至30%�,具體取決于任務(wù)類(lèi)型和處理器型號(hào)����。英特爾則否認(rèn)了這一說(shuō)法。該公司在聲明中稱(chēng)���,“英特爾已經(jīng)開(kāi)始提供軟件和固件更新����,以減輕這些漏洞的危害�����。任何性能影響都取決于工作負(fù)載��。對(duì)普通計(jì)算機(jī)用戶而言�,不會(huì)受到太大的影響,且這種影響會(huì)隨著時(shí)間的推移而減輕�����。”
已被軟銀收購(gòu)的英國(guó)芯片設(shè)計(jì)公司ARM發(fā)言人菲爾-休斯(Phil Hughes)周三表示��,該公司早已向伙伴企業(yè)告知了相關(guān)情況���,其中就包括許多的智能手機(jī)制造商�。“只有特定類(lèi)型的惡意代碼在設(shè)備上已經(jīng)運(yùn)行,該漏洞才能起作用���。而且最壞的結(jié)果����,也只是特權(quán)內(nèi)存會(huì)訪問(wèn)一部分?jǐn)?shù)據(jù)����,”該發(fā)言人在聲明中表示。
針對(duì)AMD芯片也受到影響的報(bào)道�����,該公司對(duì)此明確表態(tài):由于AMD架構(gòu)不同這一因素����,我們相信“AMD處理器當(dāng)前幾乎沒(méi)有風(fēng)險(xiǎn)。”
對(duì)于自己的產(chǎn)品也受到影響的問(wèn)題�����,谷歌在官方博客中表示���,搭載最新款A(yù)ndroid操作系統(tǒng)的手機(jī)都得到了保護(hù)�。此外,Gmail用戶不需要采取額外的措施進(jìn)行保護(hù)���,但是Chromebook、Chrome瀏覽器和許多的Google Cloud用戶都需要安裝最新的軟件更新����。
亞馬遜向AWS用戶表示,“該安全漏洞存在于英特爾��、AMD和ARM的廣泛遍及服務(wù)器��、臺(tái)式機(jī)和移動(dòng)設(shè)備的現(xiàn)代處理器中已有20多年���。”亞馬遜表示�,該公司已對(duì)AWS幾乎所有的服務(wù)器都采取了防護(hù)措施�����,不過(guò)AWS用戶仍需要對(duì)自己使用的操作系統(tǒng)打補(bǔ)丁���。
網(wǎng)絡(luò)安全顧問(wèn)公司Trail of Bits的首席執(zhí)行官丹-吉多(Dan Guido)表示�����,企業(yè)用戶應(yīng)當(dāng)立即更新易受到攻擊的系統(tǒng)����,他預(yù)計(jì)黑客將很快開(kāi)發(fā)代碼,利用上述漏洞發(fā)起攻擊�����。“探索上述漏洞將會(huì)被添加到黑客的常規(guī)工具包當(dāng)中����,”他說(shuō)。
目前尚不清楚上述兩個(gè)安全漏洞是否將給英特爾的財(cái)務(wù)狀況構(gòu)成影響���。券商Rosenblatt Securities的分析師漢斯-莫西曼(Hans Mosesmann)在研報(bào)中稱(chēng):“依據(jù)我們的觀點(diǎn)����,如果情況屬實(shí)�����,用戶就不需要更換處理器���。但是情況是多變的�,這可能會(huì)影響到英特爾的聲譽(yù)。”
鄂公網(wǎng)安備 42112402000149號(hào)