1月3日��,英特爾被曝出其處理器存在一個底層設(shè)計缺陷,而要解決這一芯片級漏洞問題�,必須得重新設(shè)計Windows、Linux內(nèi)核系統(tǒng)�。
據(jù)了解,此次被曝出的英特爾芯片漏洞,無法通過微代碼更新進行彌補��,需要與操作系統(tǒng)研發(fā)公司一起修補�����。而此次受到影響的包括Windows操作系統(tǒng)�����、Linux操作系統(tǒng)�����,以及蘋果64位macOS等操作系統(tǒng)�。
受到此次安全漏洞的影響,英特爾股價最高下跌了5.5%��,創(chuàng)下了2016年10月以來最大的跌幅�。
最直接的危險:可能出現(xiàn)密碼大泄露
此次英特爾的安全漏洞�,存在于英特爾過去十年生產(chǎn)的處理器中。攻擊者可以通過這一漏洞深入到內(nèi)核訪問內(nèi)存內(nèi)容��,而這個內(nèi)核的內(nèi)存空間中包含了用戶的各種密碼����、登陸密鑰和磁盤緩存文件等��。
黑客在Web瀏覽器中運行JavaScript代碼��,或者在公共服務(wù)器上運行惡意軟件就能輕易地獲取這些數(shù)據(jù)�����。
危險波及所有設(shè)備:智能手機亦受威脅
如果你以為這次英特爾的安全漏洞只會影響到企業(yè)網(wǎng)絡(luò)和電腦���,那么你就錯了。
這個漏洞可能會危機計算機以外的設(shè)備�����,F(xiàn)有的微處理器,甚至包括那些運行的智能手機的微處理器都會受到威脅���。
所有的微處理器�,無論是智能手機還是計算機上的����,都基于下面的運行猜測:后續(xù)可能要執(zhí)行的指令,通過“提前排隊”處理可能的執(zhí)行情況����,從而更快地收集數(shù)據(jù)并運行軟件��。而問題就在于�����,惡意代碼可以通過這種指令的預(yù)測性�����,插隊到允許訪問安全信息的指令前�,進而加載出被封鎖的敏感數(shù)據(jù)����,例如密碼、緩存文件等�。
除了電腦和智能手機,云服務(wù)提供商也受到這個漏洞的沖擊�。所以他們必須減少新客戶訪問數(shù)據(jù)中心的速度,同時減少服務(wù)器運行的數(shù)量�����,以解決問題����。
不完美的解決辦法:修復(fù)方法將影響用戶體驗
英特爾應(yīng)對此次漏洞,需要聯(lián)合系統(tǒng)研發(fā)公司���,利用技術(shù)對加速處理器進行修復(fù)��。
但是旨在加速處理器性能的技術(shù)��,都會對修復(fù)速度和電子設(shè)備運行速度造成影響���。英特爾一位負(fù)責(zé)人透露,在采用最新的英特爾芯片的設(shè)備中�,其影響將很小。但是如果設(shè)備搭載的是舊的處理器����,則修復(fù)速度和運行速度會顯著變慢。
英國伯明翰大學(xué)計算機科學(xué)講師IanBatten表示���,對于這個漏洞�,無論提出什么解決方案��,都會導(dǎo)致使處理器速度變慢�����。但是有關(guān)速度下滑25%到30%的報道,是極端情況��,即可能出現(xiàn)的最壞情況�����。
無法安撫的操作系統(tǒng)研發(fā)公司
對于這個安全漏洞�,英特爾稱其與其他科技公司關(guān)于軟件新的安全研究、描述分析方法���,能夠在出現(xiàn)惡意訪問目的時����,收集電腦設(shè)備中的敏感信息�����,并將其保護起來�。同時,用戶們不用擔(dān)心這種描述分析方法對數(shù)據(jù)進行修改和刪除��。
然而即使英特爾不斷給各系統(tǒng)公司和用戶打安心劑�,但是,各大系統(tǒng)公司以防萬一���,第一時間采取措施應(yīng)對此次漏洞��。
谷歌系統(tǒng)鑒定研究人員表示��,谷歌公司已經(jīng)更新了其系統(tǒng)和產(chǎn)品���,并提供應(yīng)對攻擊,保護系統(tǒng)的方法����。
微軟公司則在昨天發(fā)布了Windows 10操作系統(tǒng)和舊版本的安全更新,以保護英特爾和ARM和AMD芯片的用戶���。其他軟件制造商也開始發(fā)布補丁來修復(fù)服務(wù)器���,以及受影響的云服務(wù)產(chǎn)品。
目前�����,只有蘋果公司沒有回應(yīng)關(guān)于芯片漏洞如何影響公司操作系統(tǒng)的問題����。
英特爾也正在與AMD����、ARM等芯片制造商以及操作系統(tǒng)研發(fā)企業(yè)合作開發(fā)影響產(chǎn)品安全的解決方案���,同時提供軟件來幫助緩解潛在的漏洞�����。
英特爾禍不單行的2017年
而就在剛被辭舊送走的2017年�,英特爾已經(jīng)被兩次曝光大的安全漏洞���。
2017年5月份�,英特爾宣布其主動管理技術(shù)(AMT)���、標(biāo)準(zhǔn)可管理性(ISM)和小型企業(yè)技術(shù)(SBT)固件容易遭受雙重特權(quán)升級問題的攻擊�����。攻擊者可以遠程控制一臺機器�。
受影響的設(shè)備:Intel6和Inter11.6版本處理器運行的可管理性固件�����。以及英特爾2008年發(fā)布的Nehalem體系結(jié)構(gòu)中的芯片。
2017年11月��,Intel被曝出隱藏固件缺陷�,其管理引擎(ME)���、可信執(zhí)行引擎(TXE)和服務(wù)器平臺服務(wù)(SPS)���,允許攻擊者通過本地訪問來執(zhí)行任意代碼。
受影響設(shè)備:使用英特爾的第六代��,第七代和第八代核心CPU的設(shè)備�����、一系列至強處理器�����,以及以及阿波羅實驗室Atom E3900系列���,Apollo Lake Pentium和Celeron N和J系列芯片����。
受影響的企業(yè):戴爾、聯(lián)想集團�、惠普等電腦廠商。
結(jié)語
接連不斷的芯片漏洞���,也讓我們更加擔(dān)憂����。在這個互聯(lián)網(wǎng)時代�,這個被科技和資本“異化的時代”,我們把自己的一切都變成了數(shù)據(jù)和符號����。而我們卻很難在無法抗拒的異化力量中,保護好自己的數(shù)據(jù)和符號����。
鄂公網(wǎng)安備 42112402000149號