FX112財經訊:網路安全研究人員週三披露了一組安全瑕疵, 並稱幾乎所有搭載英特爾、超微半導體(AMD)、ARM Holdings晶片的現代計算裝置都有這些瑕疵, 使得駭客能利用這些漏洞竊取敏感訊息。
其中一個是英特爾特有的缺陷, 但另一個瑕疵則影響到了筆記型電腦、臺式電腦、智慧手機、平板設備和網路服務器等。 英特爾和ARM堅稱這個問題不是設計缺陷, 但他們將要求使用者下載修復程式(補丁)並且更新作業系統來進行補救。
Alphabet Inc 的Google Project Zero團隊與來自數個國家的學術界及業界研究人員, 聯手共同披露了兩個安全瑕疵。
第一個安全缺陷名“Meltdown”, 它出現在英特爾晶片。 駭客可能利用此瑕疵讀取電腦記憶體和竊取密碼。 第二個瑕疵名為“Spectre”, 受此影響的包括英特爾、AMD及ARM晶片, 駭客可利用此缺陷讓應用程式洩露秘密訊息。
研究人員表示, 蘋果和微軟已經為受Meltdown影響的臺式電腦使用者準備了補丁。
格拉茨技術大學發現Meltdown的研究人員之一Daniel Gruss接受路透採訪時稱, 這“或許是有史以來發現的最嚴重的CPU漏洞之一”。
Gruss表示, Meltdown是短期內的一個較為嚴重的問題, 但可能通過軟體補丁有效解決。 Spectre影響範圍更廣泛、幾乎所有電腦設備都可能存在, 雖較難被駭客利用, 但也很不那麼容易發佈針對性的補丁, 是長期內的一個較大問題。
當日稍早, 英特爾在一份報告中承認, 其晶片的設計缺陷或許會讓駭客得以從電腦設備上竊取資料, 但表示該公司正努力尋找不會明顯降低電腦運行速度的解決方案。
週二, 科技新聞網站The Register報導稱, 英特爾微處理器存在的這個缺陷要求電腦作業系統必須升級,
英特爾表示, 問題涉及較廣, 不單在於英特爾的晶片, 該公司正與超微半導體(AMD)、ARM Holdings及其他公司合作修復這個問題。 英特爾也否認修正檔(補丁程式)會讓使用英特爾晶片的電腦速度變慢。
“英特爾已開始提供軟體與韌體(固件)更新, 以減輕這些漏洞的問題, ”英特爾發表聲明稱, “與某些報導截然不同的是, 對電腦效能的影響取決於處理量, 對一般電腦用戶來說, 影響應該不大, 並且會隨著時間逐步緩解。 ”
ARM發言人Phil Hughes證實, 正在與英特爾及AMD合作修復這個由研究人員發現的安全性漏洞, 但表示它並非“結構性缺陷”, 已經向公司的合作夥伴發出修正檔, 其中包括多數智慧手機製造商。
“此方法僅適用於某種類型的惡意程式碼已經在設備上運行, 並且最壞情況下可能導致從特許記憶體訪問小塊資料, ”Hughes在電郵中表示。
一名知情人士對路透表示, AMD晶片也受到在英特爾晶片中發現的一個安全性漏洞的幾個變種的影響。 The Register稍早的報導暗示AMD晶片並未受波及, 似乎提振了該公司股價。
The Register援引未具名程式師報導稱, 該漏洞影響過去10年間生產的Intel x86處理器晶片所謂的核心記憶體, 允許正常應用的使用者辨別晶片上保護區域的佈局或內容。
這可能會讓駭客利用其它安全性漏洞, 竊取密碼等安全資訊, 進而入侵個人電腦甚至整個伺服器(伺服器)網路。
受該消息影響, 英特爾股價收高3.4%, AMD股價漲1%, 最終收高5.2%。
The Register稱, Linux開源作業系統的程式師正在對受影響的存儲區進行修補,
“關鍵是, 對Linux和Windows的這些更新, 會對英特爾產品的性能造成衝擊, ”The Register寫道。 (bit.ly/2CsRxkj)
穀歌在一篇博客文章中表示, 運行最新安全更新的安卓手機, 以及安裝了最新安全更新的Nexus和Pixel手機都受到保護。 Gmail用戶無需採取任何額外的措施來保護自己, 但Chromebooks、Chrome網路流覽器和很多Google雲服務使用者將需要安裝更新。
網路安全諮詢公司Trail of Bit的首席執行官Dan Guido表示, 企業應該迅速更新易受攻擊的系統, 並表示他預計駭客能夠迅速開發出利用那些漏洞發起攻擊的代碼。 “利用這些漏洞的攻擊手段將被添加到駭客的標準工具包中。 ”
目前還不清楚, 英特爾是否會因晶片缺陷而面臨重大財務責任。
“目前的英特爾問題,如果真的存在,我們認為可能不需要更換CPU。然而,事態變幻莫測,”紐約Rosenblatt Securities的Hans Mosesmann在一份報告中表示,並稱此事可能會損害英特爾的聲譽。
“目前的英特爾問題,如果真的存在,我們認為可能不需要更換CPU。然而,事態變幻莫測,”紐約Rosenblatt Securities的Hans Mosesmann在一份報告中表示,並稱此事可能會損害英特爾的聲譽。