據(jù)外電報道,谷歌互聯(lián)網(wǎng)安全項目Project
Zero的研究人員本周三披露了兩個安全漏洞--Meltdown和Spectre�,這兩個漏洞存在于英特爾、AMD和ARM架構(gòu)的芯片當(dāng)中���,能夠讓黑客盜取幾乎所有的現(xiàn)代計算設(shè)備中的敏感信息�����。
谷歌互聯(lián)網(wǎng)安全項目Project Zero的研究人員和來自數(shù)個國家的學(xué)術(shù)界和科技產(chǎn)業(yè)研究人員,共同發(fā)現(xiàn)了上述兩個安全漏洞����。
第一款漏洞稱為“熔斷”(Meltdown)���。它影響的是英特爾芯片,讓黑客繞過由用戶運行的應(yīng)用程序和計算機內(nèi)存之間的硬件屏障���,能夠讓黑客讀取計算機內(nèi)存數(shù)據(jù)�����,并竊取密碼�。
第二個漏洞稱為“幽靈”(Spectre)�,影響到英特爾、AMD和ARM架構(gòu)的芯片�,讓黑客能夠誘騙其他無錯誤的應(yīng)用程序放棄機密信息。
第一款漏洞“熔斷”(Meltdown)����,只存在于英特爾芯片中,但第二個漏洞“幽靈”(Spectre)�,影響到了包括筆記本電腦、臺式機�、智能手機、平板電腦和互聯(lián)網(wǎng)服務(wù)器在內(nèi)的所有硬件設(shè)備���。
英特爾和ARM堅持認(rèn)為����,該問題不屬于設(shè)計缺陷,但仍要求用戶下載補丁����,對操作系統(tǒng)進(jìn)行更新來修復(fù)它。
英特爾首席執(zhí)行官科再齊(Brian
Krzanich)在接受采訪時表示:“手機�����、PC�、所有的一切都將受到影響,但影響會因為產(chǎn)品的不同而有區(qū)別”���。
發(fā)現(xiàn)“熔斷”漏洞的格拉茨工業(yè)大學(xué)丹尼爾-格魯斯(Daniel
Gruss)表示����,“‘熔斷’可能是迄今為止發(fā)現(xiàn)的最糟糕的處理器漏洞之一�����?���!彼硎荆叭蹟唷痹诙唐趦?nèi)是非常嚴(yán)重的問題����,但通過軟件補丁能夠修復(fù)這一問題。與此同時�,幾乎影響到所有計算設(shè)備的“幽靈”,雖然很難被黑客利用����,但也很難修復(fù)。格魯斯說����,從長期來看,“幽靈”將會是更嚴(yán)重的問題���。
要解決這些漏洞�����,目前的辦法是操作系統(tǒng)廠商更新安全補丁�����,將內(nèi)核常駐的系統(tǒng)內(nèi)存與普通進(jìn)程完全分開��,但這將導(dǎo)致處理器的性能降低5%到30%�。
AMD表示,由于其處理器架構(gòu)與英特爾有所不同�����,因此受到這些漏洞的影響幾乎為零�����。
不過�,英特爾的說法和AMD則有所出入。英特爾認(rèn)為�����,根據(jù)迄今的分析�����,許多類型的計算設(shè)備(有來自許多不同供應(yīng)商的處理器和操作系統(tǒng))都會容易受到類似攻擊�。但這些攻擊沒有可能損壞、修改或刪除數(shù)據(jù)���,也不會對一般用戶的計算機性能造成顯著影響�。尤其是Skylake之后的產(chǎn)品,受到本次漏洞的影響微乎其微���。
同時,英特爾還表示�,已經(jīng)與AMD、ARM��、蘋果����、微軟等技術(shù)公司密切合作,以制定用于全行業(yè)的方法���,迅速��、有建設(shè)性地解決這一問題�。
目前����,并沒有黑客利用該漏洞進(jìn)行攻擊的案例出現(xiàn),而不少廠商都已這些漏洞提出了解決方案:
? Linux發(fā)布了KAISER補丁
? 蘋果則是在macOS 10.3.2中修復(fù)了該漏洞
? Google號稱最新版本的Android系統(tǒng)不受影響
? 微軟Windows 10也緊急發(fā)布了更新補丁KB4056892�,將強制安裝
? 亞馬遜AWS也發(fā)布了解決問題的指導(dǎo)方法
因此,只要將你的電腦或手機更新到最新系統(tǒng),就可以規(guī)避這一漏洞��。雖然對計算機性能多少都會受到一些影響��,但由于個人計算機的負(fù)載并不高��,因此也不需要太過擔(dān)心因為打了補丁�����,就導(dǎo)致電腦性能能到影響!
我們虛驚一場··
