英特爾晶元兩大泄密漏洞 所有電腦手機和網路逃不掉

中國小康網1月8日訊 老馬 網路安全研究人員周三披露了一組安全瑕疵，並稱幾乎所有搭載英特爾(INTC.O)、超微半導體(AMD) (AMD.O)、ARM Holdings晶元的現代計算裝置都有這些瑕疵，使得黑客能利用這些漏洞竊取敏感訊息。

2017電子娛樂展會現場的英特爾公司標識

路透社報道，其中一個是英特爾特有的缺陷，但另一個瑕疵則影響到了筆記本電腦、台式電腦、智能手機、平板設備和網路伺服器等。英特爾和ARM堅稱這個問題不是設計缺陷，但他們將要求使用者下載修復程式(補丁)並且更新操作系統來進行補救。

Alphabet Inc (GOOGL.O)的Google Project Zero團隊與來自數個國家的學術界及業界研究人員，聯手共同披露了兩個安全瑕疵。

第一個安全缺陷名「Meltdown」，它出現在英特爾晶元。黑客可能利用此瑕疵讀取電腦內存和竊取密碼。第二個瑕疵名為「Spectre」，受此影響的包括英特爾、AMD及ARM晶元，黑客可利用此缺陷讓應用程式泄露秘密訊息。

研究人員表示，蘋果 (AAPL.O)和微軟 (MSFT.O)已經為受Meltdown影響的台式電腦使用者準備了補丁。這兩家公司並未立即回復置評要求。

格拉茨技術大學發現Meltdown的研究人員之一Daniel Gruss接受路透採訪時稱，這「或許是有史以來發現的最嚴重的CPU漏洞之一」。

Gruss表示，Meltdown是短期內的一個較為嚴重的問題，但可能通過軟體補丁有效解決。Spectre影響範圍更廣泛、幾乎所有電腦設備都可能存在，雖較難被黑客利用，但也很不那麼容易發布針對性的補丁，是長期內的一個較大問題。

當日稍早，英特爾在一份報告中承認，其晶元的設計缺陷或許會讓黑客得以從電腦設備上竊取數據，但表示該公司正努力尋找不會明顯降低電腦運行速度的解決方案。

周二，科技新聞網站The Register報導稱，英特爾微處理器存在的這個缺陷要求電腦操作系統必須升級，並稱這個解決辦法導致晶元運行速度下降。

英特爾表示，問題涉及較廣，不單在於英特爾的晶元，該公司正與超微半導體(AMD) (AMD.O)、ARM Holdings及其他公司合作修復這個問題。英特爾也否認修正檔(補丁程序)會讓使用英特爾晶元的電腦速度變慢。

「英特爾已開始提供軟體與韌體(固件)更新，以減輕這些漏洞的問題，」英特爾發表聲明稱，「與某些報導截然不同的是，對電腦效能的影響取決於處理量，對一般電腦用戶來說，影響應該不大，並且會隨著時間逐步緩解。」

ARM發言人Phil Hughes證實，正在與英特爾及AMD合作修復這個由研究人員發現的安全漏洞，但表示它並非「結構性缺陷」，已經向公司的合作夥伴發出修正檔，其中包括多數智能手機製造商。

「此方法僅適用於某種類型的惡意代碼已經在設備上運行，並且最壞情況下可能導致從特許存儲器訪問小塊數據，」Hughes在電郵中表示。

一名知情人士對路透表示，AMD晶元也受到在英特爾晶元中發現的一個安全漏洞的幾個變種的影響。The Register稍早的報導暗示AMD晶元並未受波及，似乎提振了該公司股價。

The Register援引未具名程序員報導稱，該漏洞影響過去10年間生產的Intel x86處理器晶元所謂的核心內存，允許正常應用的用戶辨別晶元上保護區域的布局或內容。

這可能會讓黑客利用其它安全漏洞，竊取密碼等安全信息，進而入侵個人電腦甚至整個伺服器(伺服器)網路。

受該消息影響，英特爾股價收高3.4%，AMD股價漲1%，最終收高5.2%。

The Register稱，Linux開源操作系統的程序員正在對受影響的存儲區進行修補，微軟(MSFT.O)料將在下周二發布一款Windows補丁。

「關鍵是，對Linux和Windows的這些更新，會對英特爾產品的性能造成衝擊，」The Register寫道。(bit.ly/2CsRxkj)

谷歌在一篇博客文章中表示，運行最新安全更新的安卓手機，以及安裝了最新安全更新的Nexus和Pixel手機都受到保護。Gmail用戶無需採取任何額外的措施來保護自己，但Chromebooks、Chrome網路瀏覽器和很多Google雲服務用戶將需要安裝更新。

網路安全諮詢公司Trail of Bit的首席執行官Dan Guido表示，企業應該迅速更新易受攻擊的系統，並表示他預計黑客能夠迅速開發出利用那些漏洞發起攻擊的代碼。「利用這些漏洞的攻擊手段將被添加到黑客的標準工具包中。」

目前還不清楚，英特爾是否會因晶元缺陷而面臨重大財務責任。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！