-
史上最大安全漏洞 英特尔、AMD等无一幸免
关键字:【观察者网 综合】芯片厂商英特尔最近出事了,被曝出其芯片全部存在安全漏洞、股票大跌,甚至自己的CEO都冒着不能再胜任的风险抛售股票。作为英特尔的老对手AMD笑了,股票直线飙升。不过,谁笑到最后才笑得最好。昨天(1月3日),谷歌安全团队Project Zero称,经测试,英特尔、AMD、ARM等芯片竟无一例外全部中招。此次发现的漏洞恐怕是计算机体系结构发展史上最大安全漏洞之一。
英特尔芯片被曝两个漏洞:1995年之后系统都受影响
据新兴国际财经网站石英(Quartz)1月4日报道,安全研究人员在近年来生产的英特尔芯片中发现两个关键漏洞。通过漏洞,攻击者可以从程序运行内存中窃取数据。其中一个漏洞可以影响到所有的电脑、手机和云服务器。值得注意的是,1995年之后的每一个系统都可能受到漏洞的影响。
研究人员将两个漏洞叫作“熔断”(Meltdown)和“幽灵”(Spectre)。这些漏洞允许恶意程序来窃取存储于其他正在运行的程序内存中的数据,包括诸如密码管理器、浏览器、电子邮件、照片和文档中的数据。
对于“熔断”漏洞,其研究报告称,利用熔断漏洞,攻击者不只可以进入核心内存,还可以读取目标机器的所有物理内存数据。也就是说,该漏洞允许低权限、用户级别的应用程序“越界”访问系统级的内存,从而造成数据泄露。“幽灵”则可以欺骗应用程序,窃取应用程序中的机密信息。
研究人员称,在英特尔芯片上验证了自己的发现,这些芯片最早可以追溯到2011年。随后发现Windows、Macs和Linux系统无一幸免,都受到漏洞的威胁。好消息是没有证据表明它们已被任何人使用过。
据谷歌透露,去年,其Project Zero团队“发现了由‘预测执行’引起的严重安全漏洞,这是大多数现代处理器(CPU)用来优化性能的技术”,从而引发了进一步的研究。Project Zero是谷歌内部的安全团队,唯一任务是发现、跟踪和修补全球性的软件安全漏洞。
据商业科技新闻网站ZDNet称,英特尔芯片的历史可以追溯到1995年。对很多芯片厂商来说,1995年是一个非常重要的时间节点。这一年英特尔奔腾处理器才逐步走上正轨,其他芯片厂商也开始全面发力,微型计算机开始高速进入家庭、学校、企业。
AMD笑了 但也不幸中招
英特尔被曝出安全漏洞后,对英特尔的股价造成了冲击,最高下跌了5.5%,创下2016年10月份以来的最大跌幅。
作为英特尔的竞争对手,新浪科技援引AMD的声明表示:“微处理器公司不同,给三大平台造成的威胁也不同,三大平台的反应也会不同,在所有三大平台上,AMD不易受到影响。因为架构不同,我们深信,就目前来说AMD处理器的风险几乎为零。”
这对AMD的股价无意是一阵强心剂,周三股价最高上涨8.8%。此外,英伟达(NVIDIA)也跳涨了6.3%。
不过,Google Project Zero团队1月3日却发布消息称,AMD和ARM生产的处理器也是易受攻击的。
报告截图
与此同时,“幽灵”漏洞的联合发现者、奥地利格拉茨技术大学的丹尼尔·格鲁斯(Daniel Gruss)也称,他基于AMD处理器的“幽灵”代码攻击模拟相当成功,绝不能低估。
而ARM公司在回应媒体时表示,漏洞的形式是越级访问高权限的内存数据,他们用户物联网的Coertex-M处理器没事,但部分Corex-A处理器可能容易受影响。
也就是说,此次由英特尔服务器CPU产品诱发的安全事故现在规模正式扩大,波及到ARM和AMD。这意味着近二十年来生产的几乎一切手机、电脑、云计算产品都在风险之列。
科技巨头纷纷采取措施应对
虽然AMD强调自己可以独善其身,但行动上还是很诚实。
Arm向石英网证实,它正在与Intel和AMD合作解决这些漏洞,并根据Google研究团队提供的建议开发了缓解措施。目前还不清楚这些是否能解决Spectre的缺陷,因为研究人员认为这不容易解决。该研究小组表示,正在做的工作是“加强软件,防止未来利用Spectre”。
微软也在声明中说:“我们了解到这个影响整个行业的问题,而且与芯片厂商展开了密切合作,开发和测试各种方法来保护我们的用户。我们正在向云服务中部署解决方案,而且还发布了安全更新,以保护Windows用户不受该漏洞的影响,这一漏洞会对英特尔、ARM和AMD等公司的硬件产生影响。我们尚未收到任何关于利用该漏洞攻击用户的消息。”
英特尔官方今早(1月4日)回应就此次漏洞发表声明,称他们和相关科技公司已经完全了解到了安全漏洞的工作机制,如果被恶意理用,有可能会造成信息数据泄露,但是绝没有修改、删除和导致系统崩溃的可能。同时,其强调,关于该漏洞仅仅是Intel x86-64处理器的一个设计漏洞,AMD/ARM的服务器系统事实上也受到波及,大伙儿正紧密配合,研究出最彻底的应对之策。
值得注意的是,英特尔还表示,他们已经开始提供软件和固件更新。本来已经和微软、谷歌等企业商量好,下周公开这一漏洞并同时给出解决方案,不料科技新闻网站TheReg提前曝出这一事件。
据悉,目前多家科技巨头都在加紧采取措施解决相关问题。
新浪科技报道,在受影响的操作系统中,Linux和macOS已经提供了补丁来解决这一问题。微软也已紧急发布补丁。
除了芯片厂商外,有许多云服务使用英特尔服务器,它们也会受到影响。对此,亚马逊、微软、谷歌等企业行动起来,给云服务打补丁,按计划中断服务,防止攻击者窃取数据,攻击者可能会在相同的共享云服务器上窃取其它数据。
亚马逊宣布,旗下云服务中的弹性计算云系统(EC2)大部分已修补相关漏洞,剩余的部分将在几个小时内被修复,并提醒用户也需要为实例操作系统打补丁。
不过,《纽约时报》报道,虽然微软和苹果公司将能够发送软件补丁来解决“熔断”漏洞,但是研究人员还没有能够为“幽灵”设计修补程序。该研究小组在其网站上称:“‘幽灵’将其他应用程序诱骗进入他们记忆中的任意位置。“修理起来不容易,会困扰我们很长一段时间。”
- 请支持独立网站,转发请注明本文链接:
- 责任编辑:奕含
-
外交部回应布林肯:中方从来没有兴趣,不要疑神疑鬼 评论 286护栏被冲破!美国校园两派“开打” 评论 345加沙孩子感谢美国“挺巴”大学生:请继续支持我们! 评论 140李强:大力发展智能网联新能源汽车 评论 94最新闻 Hot
-
禁了TikTok,谁会得利?看看印度......
-
中国如何成为世界清洁技术巨头?美媒“揭秘”
-
美报告挑事:欧盟任何惩罚都过于温和,无法阻止中国电动车,除非...
-
所罗门群岛总理索加瓦雷退出新任期竞选
-
“不管枪支教育,却禁掉我谋生工具,这就是我的国家”
-
“绝大多数美国人都已感到厌恶,这不是反犹是现实”
-
“美日想抢在中国前面登月,害怕中国人太自豪……”
-
护栏被冲破!美国校园两派“开打”
-
“同性恋最高可判15年”,伊拉克新法律被美英围攻
-
乌军总司令:前线局势正在恶化,俄军取得局部胜利
-
美7旬犹太裔总统候选人,也没幸免…
-
国际刑事法院将发逮捕令?“内塔尼亚胡怕了,不停打电话给拜登”
-
韩机构着急:在华韩货价格不如中国,质量不及日本
-
“我仿佛置身战区”
-
“继加沙后,以军还会把我们赶出约旦河西岸”
-
加沙孩子感谢美国“挺巴”大学生:请继续支持我们!
-