據(jù)外電報道,網(wǎng)絡安全研究人員周三披露了兩個安全漏洞。他們表示,這兩個漏洞存在于英特爾、AMD和ARM架構的芯片當中,能夠讓黑客盜取幾乎所有的現(xiàn)代計算設備中的敏感信息。
其中的一個漏洞只存在于英特爾芯片中,但另一個漏洞影響到了包括筆記本電腦、臺式機、智能手機、平板電腦和互聯(lián)網(wǎng)服務器在內(nèi)的所有硬件設備。英特爾和ARM堅持認為,該問題不屬于設計缺陷,但仍要求用戶下載補丁,對操作系統(tǒng)進行更新來修復它。“手機、PC、所有的一切都將受到影響,但影響會因為產(chǎn)品的不同而有區(qū)別,”英特爾首席執(zhí)行官科再齊(Brian Krzanich)周三在接受采訪時表示。
谷歌互聯(lián)網(wǎng)安全項目Project Zero的研究人員和來自數(shù)個國家的學術界和科技產(chǎn)業(yè)研究人員,共同發(fā)現(xiàn)了上述兩個安全漏洞。第一款漏洞稱為“熔斷”(Meltdown)。它影響的是英特爾芯片,讓黑客繞過由用戶運行的應用程序和計算機內(nèi)存之間的硬件屏障,能夠讓黑客讀取計算機內(nèi)存數(shù)據(jù),并竊取密碼。第二個漏洞稱為“幽靈”(Spectre),影響到英特爾、AMD和ARM架構的芯片,讓黑客能夠誘騙其他無錯誤的應用程序放棄機密信息。
研究人員表示,微軟和蘋果兩家公司已為用戶發(fā)布了受“熔斷”影響的臺式機補丁。截至目前,上述兩家公司均對此未予置評。
發(fā)現(xiàn)“熔斷”漏洞的格拉茨工業(yè)大學丹尼爾-格魯斯(Daniel Gruss)表示,“‘熔斷’可能是迄今為止發(fā)現(xiàn)的最糟糕的處理器漏洞之一。”他表示,“熔斷”在短期內(nèi)是非常嚴重的問題,但通過軟件補丁能夠修復這一問題。與此同時,幾乎影響到所有計算設備的“幽靈”,雖然很難被黑客利用,但也很難修復。格魯斯說,從長期來看,“幽靈”將會是更嚴重的問題。
科再齊在接受CNBC采訪時稱,他對黑客尚未利用這一漏洞“相對自信”,且整個產(chǎn)業(yè)攜手處理這一問題已有幾個月時間。“我們沒有發(fā)現(xiàn)有黑客利用這一漏洞的事例,現(xiàn)在測試的修補程序是為了防止未來的黑客攻擊,”他說。他還表示,谷歌的研究人員“不久之前”告知公司的芯片存在安全漏洞,英特爾將從下周起著手修復這一漏洞。
谷歌則在官方博客中表示,英特爾和其他公司員工計劃在1月9日正式對外公布這一問題。谷歌稱,該公司在2017年6月1日向受影響的公司告知了“幽靈”漏洞,并在2017年7月28日又向他們告知了“熔斷”漏洞。
英國媒體The Register周二率先報道了漏洞問題。該媒體還指出,Windows、Linux的系統(tǒng)更新將會影響英特爾產(chǎn)品的性能,預計會導致英特爾芯片速度放慢5%至30%,具體取決于任務類型和處理器型號。英特爾則否認了這一說法。該公司在聲明中稱,“英特爾已經(jīng)開始提供軟件和固件更新,以減輕這些漏洞的危害。任何性能影響都取決于工作負載。對普通計算機用戶而言,不會受到太大的影響,且這種影響會隨著時間的推移而減輕。”
已被軟銀收購的英國芯片設計公司ARM發(fā)言人菲爾-休斯(Phil Hughes)周三表示,該公司早已向伙伴企業(yè)告知了相關情況,其中就包括許多的智能手機制造商。“只有特定類型的惡意代碼在設備上已經(jīng)運行,該漏洞才能起作用。而且最壞的結果,也只是特權內(nèi)存會訪問一部分數(shù)據(jù),”該發(fā)言人在聲明中表示。
針對AMD芯片也受到影響的報道,該公司對此明確表態(tài):由于AMD架構不同這一因素,我們相信“AMD處理器當前幾乎沒有風險。”
對于自己的產(chǎn)品也受到影響的問題,谷歌在官方博客中表示,搭載最新款Android操作系統(tǒng)的手機都得到了保護。此外,Gmail用戶不需要采取額外的措施進行保護,但是Chromebook、Chrome瀏覽器和許多的Google Cloud用戶都需要安裝最新的軟件更新。
亞馬遜向AWS用戶表示,“該安全漏洞存在于英特爾、AMD和ARM的廣泛遍及服務器、臺式機和移動設備的現(xiàn)代處理器中已有20多年。”亞馬遜表示,該公司已對AWS幾乎所有的服務器都采取了防護措施,不過AWS用戶仍需要對自己使用的操作系統(tǒng)打補丁。
網(wǎng)絡安全顧問公司Trail of Bits的首席執(zhí)行官丹-吉多(Dan Guido)表示,企業(yè)用戶應當立即更新易受到攻擊的系統(tǒng),他預計黑客將很快開發(fā)代碼,利用上述漏洞發(fā)起攻擊。“探索上述漏洞將會被添加到黑客的常規(guī)工具包當中,”他說。
目前尚不清楚上述兩個安全漏洞是否將給英特爾的財務狀況構成影響。券商Rosenblatt Securities的分析師漢斯-莫西曼(Hans Mosesmann)在研報中稱:“依據(jù)我們的觀點,如果情況屬實,用戶就不需要更換處理器。但是情況是多變的,這可能會影響到英特爾的聲譽。”
榜單收錄、高管收錄、融資收錄、活動收錄可發(fā)送郵件至news#citmt.cn(把#換成@)。
海報生成中...