AG和记腾讯科技讯 据外电报道,网络安全研究人员周三披露了两个安全漏洞。他们表示,这两个漏洞存在于英特尔、AMD和ARM架构的芯片当中,能够让黑客盗取几乎所有的现代计算设备中的敏感信息。
其中的一个漏洞只存在于英特尔芯片中,但另一个漏洞影响到了包括笔记本电脑、台式机、智能手机、平板电脑和互联网服务器在内的所有硬件设备。英特尔和ARM坚持认为,该问题不属于设计缺陷,但仍要求用户下载补丁,对操作系统进行更新来修复它。“手机、PC、所有的一切都将受到影响,但影响会因为产品的不同而有区别,”英特尔首席执行官科再齐(Brian Krzanich)周三在接受采访时表示。
谷歌互联网安全项目Project Zero的研究人员和来自数个国家的学术界和科技产业研究人员,共同发现了上述两个安全漏洞。第一款漏洞称为“熔断”(Meltdown)。它影响的是英特尔芯片,让黑客绕过由用户运行的应用程序和计算机内存之间的硬件屏障,能够让黑客读取计算机内存数据,并窃取密码。第二个漏洞称为“幽灵”(Spectre),影响到英特尔、AMD和ARM架构的芯片,让黑客能够诱骗其他无错误的应用程序放弃机密信息。
研究人员表示,微软和苹果两家公司已为用户发布了受“熔断”影响的台式机补丁。截至目前,上述两家公司均对此未予置评。
发现“熔断”漏洞的格拉茨工业大学丹尼尔-格鲁斯(Daniel Gruss)表示,“‘熔断’可能是迄今为止发现的最糟糕的处理器漏洞之一。”他表示,“熔断”在短期内是非常严重的问题AG和记,但通过软件补丁能够修复这一问题。与此同时,几乎影响到所有计算设备的“幽灵”,虽然很难被黑客利用,但也很难修复。格鲁斯说,从长期来看,“幽灵”将会是更严重的问题。
科再齐在接受CNBC采访时称,他对黑客尚未利用这一漏洞“相对自信”,且整个产业携手处理这一问题已有几个月时间。“我们没有发现有黑客利用这一漏洞的事例,现在测试的修补程序是为了防止未来的黑客攻击,”他说。他还表示,谷歌的研究人员“不久之前”告知公司的芯片存在安全漏洞,英特尔将从下周起着手修复这一漏洞。
谷歌则在官方博客中表示,英特尔和其他公司员工计划在1月9日正式对外公布这一问题。谷歌称,该公司在2017年6月1日向受影响的公司告知了“幽灵”漏洞,并在2017年7月28日又向他们告知了“熔断”漏洞。
英国媒体The Register周二率先报道了漏洞问题。该媒体还指出,Windows、Linux的系统更新将会影响英特尔产品的性能,预计会导致英特尔芯片速度放慢5%至30%,具体取决于任务类型和处理器型号。英特尔则否认了这一说法。该公司在声明中称,“英特尔已经开始提供软件和固件更新,以减轻这些漏洞的危害。任何性能影响都取决于工作负载。对普通计算机用户而言,不会受到太大的影响,且这种影响会随着时间的推移而减轻。”
已被软银收购的英国芯片设计公司ARM发言人菲尔-休斯(Phil Hughes)周三表示,该公司早已向伙伴企业告知了相关情况,其中就包括许多的智能手机制造商。“只有特定类型的恶意代码在设备上已经运行,该漏洞才能起作用。而且最坏的结果,也只是特权内存会访问一部分数据,”该发言人在声明中表示。
针对AMD芯片也受到影响的报道,该公司对此明确表态:由于AMD架构不同这一因素,我们相信“AMD处理器当前几乎没有风险。”
对于自己的产品也受到影响的问题,谷歌在官方博客中表示,搭载最新款Android操作系统的手机都得到了保护。此外,Gmail用户不需要采取额外的措施进行保护,但是Chromebook、Chrome浏览器和许多的Google Cloud用户都需要安装最新的软件更新。
亚马逊向AWS用户表示,“该安全漏洞存在于英特尔、AMD和ARM的广泛遍及服务器、台式机和移动设备的现代处理器中已有20多年AG和记。”亚马逊表示,该公司已对AWS几乎所有的服务器都采取了防护措施,不过AWS用户仍需要对自己使用的操作系统打补丁。
网络安全顾问公司Trail of Bits的首席执行官丹-吉多(Dan Guido)表示,企业用户应当立即更新易受到攻击的系统,他预计黑客将很快开发代码,利用上述漏洞发起攻击。“探索上述漏洞将会被添加到黑客的常规工具包当中,”他说。
目前尚不清楚上述两个安全漏洞是否将给英特尔的财务状况构成影响。券商Rosenblatt Securities的分析师汉斯-莫西曼(Hans Mosesmann)在研报中称:“依据我们的观点,如果情况属实,用户就不需要更换处理器。但是情况是多变的,这可能会影响到英特尔的声誉。”(编译/明轩)