安全漏洞恐让所有手机电脑遭殃 英特尔等芯片巨头如何应对？
2018-01-04 19:37:24   来源： TechWeb.com.cn    评论：0 点击：

【TechWeb报道】1月4日消息，据路透社报道，安全研究人员日前披露一套安全漏洞，他们说，黑客利用这些漏洞，也许能够从几乎所有包含英特尔、AMD和ARM芯片的电子设备中窃取敏感信息。

研究人员披露的这套漏洞中，其中一个是针对英特尔的，而另外的则会影响笔记本电脑、台式电脑、智能手机、平板电脑和互联网服务器。英特尔和ARM坚持认为，该问题不是设计缺陷，但它将要求用户下载补丁并更新操作系统。

英特尔首席执行官Brian Krzanich在周三下午接受CNBC采访时表示：“手机、个人电脑等产品都会有一定的影响，但产品和产品受到影响会有所不同。"

Alphabet公司的Google Project Zero研究人员与来自几个国家的学术和行业研究人员一起发现两种缺陷。

第一种是“崩溃（Meltdown）”，它会影响英特尔芯片，让黑客绕过用户和电脑内存之间的硬件屏障，这可能让黑客读取电脑的内存并窃取密码。第二种被称为“幽灵（Spectre）”，它会影响英特尔、AMD和ARM的芯片，并让黑客们有可能把那些没有错误的应用程序转化为泄露机密途径。

研究人员在网站上说，英特尔向他们支付了所谓的“漏洞赏金”，因为他们向英特尔披露了漏洞，但并没有透露具体金额。

研究人员说，苹果和微软已经为受“崩溃”影响的台式电脑准备了补丁。微软表示，企业使用的Azure云服务的“多数”已经被修补和保护，并发布了Windows安全更新。

微软在一份声明中说:“我们没有收到任何信息表明这些漏洞已经被用来攻击我们的客户。”

苹果没有回复置评请求，也不清楚苹果iOS用户是否处于危险之中。

格拉茨大学(Graz University of Technology)研究人员丹尼尔·格鲁斯(Daniel Gruss)在接受路透社采访时表示，这可能是“有史以来最严重的CPU缺陷之一”。

格鲁斯说，短期来看，“崩溃”是一个更严重的问题，但用户可以使用软件补丁的方法迅速将其解决。而“幽灵”是一种几乎适用于所有计算设备的漏洞，黑客们虽然很难利用这个漏洞，但在长期来看，这将是一个更大的问题。

英特尔首席执行官Krzanich对CNBC上表示，谷歌研究人员告诉将这个缺陷告知英特尔已经“有一段时间了”，而英特尔一直在测试解决办法，会在下周对使用其芯片的设备制造商推出的补丁。在问题公开化之前，谷歌在其博客上说，英特尔和其他公司计划在1月9日公布这些问题。

技术出版物“The Register”最先报道了这些缺陷。它还报告说，修复这些问题的更新可能会使英特尔芯片的运行速度慢5%到30%。

而英特尔否认这些补丁会使基于英特尔芯片的电脑陷入困境。

英特尔在一份声明中表示:“英特尔已经开始提供软件和固件升级，以减轻这些漏洞。”“与某些报告相反，任何性能影响都是依赖于工作负载的，对于普通的计算机用户来说，不应该是显著的，并且随着时间的推移，这些影响将会减轻。”

ARM发言人休斯(Phil Hughes)说，这些补丁已经与合作伙伴分享，其中包括许多智能手机制造商。

休斯在一封电子邮件中说:“这种方法只有在某种恶意代码已经在设备上运行时才有效，而在最坏的情况下，它会导致从特权记忆中获取的一小部分数据。”

AMD的芯片也受到至少一个安全缺陷的影响。该公司表示，它认为“目前AMD产品的风险接近于零”。

谷歌在一篇博客文章中说，运行最新安全更新的Android手机是受保护的， Nexus和Pixel手机也有最新的安全更新。Gmail用户不需要采取任何额外的行动来保护自己，但是Chromebooks、Chrome web浏览器和安装了谷歌云服务的用户需要安装更新。

这一缺陷影响了英特尔x86处理器芯片上的所谓内核内存，该芯片是十年前制造的，该寄存器引用了未命名的程序员，允许正常应用程序的用户识别芯片上受保护区域的布局或内容。

这可能会让黑客攻击其他安全漏洞，或者更糟的是，暴露安全信息，比如密码，从而危及个人电脑甚至整个服务器网络。

网络安全咨询公司Trail首席执行官丹·圭多(Dan Guido)表示，企业应该迅速采取行动，更新易受攻击的系统。他说，他预计黑客们很快就会开发出能够利用这些漏洞发动攻击的代码。“这些漏洞将被添加到黑客的标准工具包中，”Guido说。

报道一出，英特尔股价下降3.4%，但在盘后交易中小幅回升1.2%至44.70美元；而AMD公司股价虽然上涨1%，至11.77美元，但是涨势仍然受到了影响，他们当天早些时候的报告显示其芯片没有受到影响。

目前还不清楚英特尔是否会因报告的缺陷而面临重大财务责任。

纽约Rosenblatt Securities公司的Hans Mosesmann在一份报告中称，“英特尔当前的问题，如果是真的，我们更换CPU的选择可能不会考虑英特尔。”他补充称，这可能会损害公司的声誉。（编译/露天）