最近,披露了一组安全缺陷。根据该报告,这些缺陷可以让黑客从几乎所有包含英特尔,高级微型设备和手臂的设备中窃取敏感信息。这些缺陷之一是特定于英特尔的,但其他缺陷会影响笔记本电脑,台式计算机,智能手机,平板电脑和互联网服务。英特尔和ARM已经说,问题并不是因为设计缺陷,但是,用户仍然需要下载和安装补丁并更新其操作系统以应用该修复程序。
“电话,PC,一切都会产生一定的影响,但产品因产品而异。”这两个缺陷是由Alphabet的Google Project Zero的研究人员发现的。许多学术和行业研究人员也参与了这一发现。
第一个错误称为Meltdown。它会影响英特尔芯片,并允许黑客绕过硬件屏障。在克服应用程序和计算机内存之间的硬件障碍物之后,黑客可以读取计算机的内存并可以复印密码。
第二个错误称为幽灵。它会影响英特尔,AMD和手臂的芯片。它允许黑客欺骗无错误的应用程序以放弃秘密信息。
研究人员说,苹果和微软已经为受崩溃影响的用户台式计算机创建了补丁程序。微软没有对此事发表评论,苹果也没有回报有关此事的评论请求。格拉兹技术大学的研究员丹尼尔·格鲁斯(Daniel Gruss)参与发现Meltdown的说法“可能是有史以来最糟糕的CPU错误之一”。
格鲁斯说,在短期内,崩溃是一个更严重的问题,但可以通过软件补丁程序停止。另一方面,幽灵是一个更广泛的错误,几乎应用于所有计算设备。黑客很难利用它。它不能轻易修补,因此将来将是一个更大的问题。
英特尔的Krzanich说,Google在某个时候向他们介绍了该缺陷,从那时起,它一直在测试设备上的修复程序。Before the problem went viral on the internet, Google wrote on its blog that Intel and others have planned to disclose the issues on Jan 9. Google said that the affected companies were informed about the ‘Spectre’ flaw on June 1, 2017. It also reported about the Meltdown flaw later on before July 28, 2017.
该登记册是一本技术出版物,是第一个报告缺陷的登记册。它还报道说,解决问题的更新可能会使英特尔芯片速度为5%至30%。但是,英特尔否认修复程序将减慢计算机。英特尔发表声明说:“英特尔已开始提供软件和固件更新,以减轻这些利用。与某些报告相反,任何绩效影响都取决于工作负载,对于普通计算机用户而言,不应显着,并且会随着时间的推移而缓解。”
ARM发言人菲尔·休斯(Phil Hughes)告诉他们,这些补丁已经与合作伙伴公司共享。这也包括许多智能手机制造商。休斯在一封电子邮件中发表了声明,说“此方法仅当某种类型的恶意代码已经在设备上运行时才起作用,并且最坏的情况可能会导致从特权内存访问的小数据。”
AMD芯片也受到安全缺陷的一种变体的影响。但是,也可以通过软件更新对其进行修补。该公司说,此时AMD产品的风险接近零。Google发表了一篇博客文章,并告诉我们正在运行最新安全更新的Andriod手机受到保护。Google自己的Nexus和Pixel受到最新安全更新的保护。拥有Chromebook,Chrome Web浏览器和Google Cloud Services的用户还需要安装最新的更新。但是,Gmail用户是安全的,不需要采取任何行动。
亚马逊Web服务表示,他们的几乎所有互联网服务都已经修补,其余的都在修补过程中。该缺陷还会影响英特尔X86处理器芯片上的内核内存。登记册报告说,引用了未命名的程序员,允许普通应用程序的用户辨别芯片上保护区域的布局或内容。这也可以使黑客利用其他安全错误或暴露安全信息,例如密码。这将损害单个计算机甚至整个网络服务器。
网络安全咨询公司BITS TRAIL的负责人Dan Guido表示,企业应尽快更新脆弱的系统。他说,黑客将迅速开发一项代码,该代码可用于发射攻击以利用漏洞。吉多说,“这些错误的利用将添加到黑客的标准工具包中。”
自报告发布以来,英特尔的股票下跌了3.4%。但是他们上升了1.2%,至44.70美元。AMD的股票上涨1%,至11.77美元。目前尚不清楚英特尔是否会因报告缺陷而面临任何严重的财务责任。纽约罗森布拉特证券的汉斯·摩斯曼说,“当前的英特尔问题,如果是真的,我们认为可能不需要更换CPU。但是,情况很流畅。”
