據外媒報導, 1月3日, 網路安全研究人員披露了存在於英特爾、AMD和ARM架構的晶片中的兩個安全性漏洞, 而這能夠讓駭客盜取幾乎所有的現代計算設備中的敏感資訊。
英特爾晶片被爆重大安全性漏洞 主流系統全中招
報導稱, 第一個漏洞稱為“熔斷”, 其影響的是英特爾晶片, 能讓駭客繞過由使用者運行的應用程式和電腦記憶體之間的硬體屏障, 讀取電腦記憶體資料, 並竊取密碼。
第二個漏洞稱為“幽靈”, 影響到英特爾、AMD和ARM架構的晶片, 讓駭客能夠誘騙其他無錯誤的應用程式放棄機密資訊, 這幾乎影響到了包括筆記型電腦、桌上型電腦、智慧手機、平板電腦和互聯網伺服器在內的所有硬體設備。
1995年以後生產的處理器幾乎無一倖免
上海市網信辦也提醒廣大互聯網用戶注意:從目前瞭解情況來看, 1995年以來大部分量產的處理器均有可能受上述漏洞的影響,
包括以英特爾為主, ARM、AMD等大部分主流處理器晶片;Windows、Linux、macOS、Android等主流作業系統都受上述漏洞的影響, 尤其以英特爾的晶片受上述漏洞影響最為嚴重。
相應的, 採用這些晶片和作業系統的公有雲服務提供者, 私有雲、電子政務雲等基礎設施, 廣大終端使用者, 都有可能遭遇利用上述漏洞機理發起的組合攻擊。
特別需要強調的是, 上述漏洞對雲計算基礎設施的影響是尤為嚴重的。
上海網信辦發佈三項應急處置措施
一是密切跟蹤該漏洞的最新情況, 及時評估漏洞對本單位系統的影響。
二是對晶片廠商、作業系統廠商和安全廠商等發佈的補丁及時跟蹤測試, 在做好全面審慎的評估工作基礎上, 制定修復工作計畫, 及時安裝。
目前, 作業系統廠商已經發佈補丁更新, 如Linux, Apple和Android, 微軟也已發佈補丁更新。 CNVD建議用戶及時下載補丁進行更新, 參考連結:
Linux:http://appleinsider.com/articles/18/01/03/apple-has-already-partially-implemented-fix-in-macos-for-kpti-intel-cpu-security-flaw
Android:https://source.android.com/security/bulletin/2018-01-01
Microsoft:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
Amazon:https://aws.amazon.com/de/security/security-bulletins/AWS-2018-013/
ARM:https://developer.arm.com/support/security-update
Google:https://googleprojectzero.blogspot.co.at/2018/01/reading-privileged-memory-with-side.html
Intel:https://newsroom.intel.com/news/intel-responds-to-security-research-findings/
Red Hat:https://access.redhat.com/security/vulnerabilities/speculativeexecution
Nvidia:https://forums.geforce.com/default/topic/1033210/nvidias-response-to-speculative-side-channels-cve-2017-5753-cve-2017-5715-and-cve-2017-5754/
Xen:https://xenbits.xen.org/xsa/advisory-254.html
三是進一步加強關鍵資訊基礎設施網路安全防護工作, 加強網路安全防護和威脅情報收集工作,
英特爾聲明正在解決
英特爾表示正在與其他晶片廠商合作解決這一問題。 不過有研究人員稱, 一旦打補丁, 電腦性能可能會下降5%到30%, 但英特爾表示, 任何性能影響都由工作負載決定, 對於一般使用者來說, 並不顯著, 並且會隨著時間的推移得到緩解。
在英特爾發佈聲明後, AMD和ARM都表示將積極與合作夥伴防止安全性漏洞出現, 不過均沒明確承認自己的新品有所缺陷。