應(yīng)用

技術(shù)

物聯(lián)網(wǎng)世界 >> 物聯(lián)網(wǎng)新聞 >> 物聯(lián)網(wǎng)熱點(diǎn)新聞
企業(yè)注冊(cè)個(gè)人注冊(cè)登錄

英特爾、AMD和ARM陷芯片安全漏洞,所有硬件設(shè)備都受波及

2018-01-05 15:16 悠趣●科技●前沿
關(guān)鍵詞:英特爾AMDARM芯片安全

導(dǎo)讀:谷歌互聯(lián)網(wǎng)安全項(xiàng)目Project Zero的研究人員本周三披露了兩個(gè)安全漏洞--Meltdown和Spectre,這兩個(gè)漏洞存在于英特爾、AMD和ARM架構(gòu)的芯片當(dāng)中,能夠讓黑客盜取幾乎所有的現(xiàn)代計(jì)算設(shè)備中的敏感信息。

  據(jù)外電報(bào)道,谷歌互聯(lián)網(wǎng)安全項(xiàng)目Project Zero的研究人員本周三披露了兩個(gè)安全漏洞--Meltdown和Spectre,這兩個(gè)漏洞存在于英特爾、AMD和ARM架構(gòu)的芯片當(dāng)中,能夠讓黑客盜取幾乎所有的現(xiàn)代計(jì)算設(shè)備中的敏感信息。

  谷歌互聯(lián)網(wǎng)安全項(xiàng)目Project Zero的研究人員和來(lái)自數(shù)個(gè)國(guó)家的學(xué)術(shù)界和科技產(chǎn)業(yè)研究人員,共同發(fā)現(xiàn)了上述兩個(gè)安全漏洞。

  第一款漏洞稱為“熔斷”(Meltdown)。它影響的是英特爾芯片,讓黑客繞過(guò)由用戶運(yùn)行的應(yīng)用程序和計(jì)算機(jī)內(nèi)存之間的硬件屏障,能夠讓黑客讀取計(jì)算機(jī)內(nèi)存數(shù)據(jù),并竊取密碼。

  第二個(gè)漏洞稱為“幽靈”(Spectre),影響到英特爾、AMD和ARM架構(gòu)的芯片,讓黑客能夠誘騙其他無(wú)錯(cuò)誤的應(yīng)用程序放棄機(jī)密信息。

  第一款漏洞“熔斷”(Meltdown),只存在于英特爾芯片中,但第二個(gè)漏洞“幽靈”(Spectre),影響到了包括筆記本電腦、臺(tái)式機(jī)、智能手機(jī)、平板電腦和互聯(lián)網(wǎng)服務(wù)器在內(nèi)的所有硬件設(shè)備。

  英特爾和ARM堅(jiān)持認(rèn)為,該問(wèn)題不屬于設(shè)計(jì)缺陷,但仍要求用戶下載補(bǔ)丁,對(duì)操作系統(tǒng)進(jìn)行更新來(lái)修復(fù)它。

  英特爾首席執(zhí)行官科再齊(Brian Krzanich)在接受采訪時(shí)表示:“手機(jī)、PC、所有的一切都將受到影響,但影響會(huì)因?yàn)楫a(chǎn)品的不同而有區(qū)別”。

  發(fā)現(xiàn)“熔斷”漏洞的格拉茨工業(yè)大學(xué)丹尼爾-格魯斯(Daniel Gruss)表示,“‘熔斷’可能是迄今為止發(fā)現(xiàn)的最糟糕的處理器漏洞之一?!彼硎?,“熔斷”在短期內(nèi)是非常嚴(yán)重的問(wèn)題,但通過(guò)軟件補(bǔ)丁能夠修復(fù)這一問(wèn)題。與此同時(shí),幾乎影響到所有計(jì)算設(shè)備的“幽靈”,雖然很難被黑客利用,但也很難修復(fù)。格魯斯說(shuō),從長(zhǎng)期來(lái)看,“幽靈”將會(huì)是更嚴(yán)重的問(wèn)題。

  要解決這些漏洞,目前的辦法是操作系統(tǒng)廠商更新安全補(bǔ)丁,將內(nèi)核常駐的系統(tǒng)內(nèi)存與普通進(jìn)程完全分開(kāi),但這將導(dǎo)致處理器的性能降低5%到30%。

  AMD表示,由于其處理器架構(gòu)與英特爾有所不同,因此受到這些漏洞的影響幾乎為零。

  不過(guò),英特爾的說(shuō)法和AMD則有所出入。英特爾認(rèn)為,根據(jù)迄今的分析,許多類型的計(jì)算設(shè)備(有來(lái)自許多不同供應(yīng)商的處理器和操作系統(tǒng))都會(huì)容易受到類似攻擊。但這些攻擊沒(méi)有可能損壞、修改或刪除數(shù)據(jù),也不會(huì)對(duì)一般用戶的計(jì)算機(jī)性能造成顯著影響。尤其是Skylake之后的產(chǎn)品,受到本次漏洞的影響微乎其微。

  同時(shí),英特爾還表示,已經(jīng)與AMD、ARM、蘋果、微軟等技術(shù)公司密切合作,以制定用于全行業(yè)的方法,迅速、有建設(shè)性地解決這一問(wèn)題。

  目前,并沒(méi)有黑客利用該漏洞進(jìn)行攻擊的案例出現(xiàn),而不少?gòu)S商都已這些漏洞提出了解決方案:

  ? Linux發(fā)布了KAISER補(bǔ)丁

  ? 蘋果則是在macOS 10.3.2中修復(fù)了該漏洞

  ? Google號(hào)稱最新版本的Android系統(tǒng)不受影響

  ? 微軟Windows 10也緊急發(fā)布了更新補(bǔ)丁KB4056892,將強(qiáng)制安裝

  ? 亞馬遜AWS也發(fā)布了解決問(wèn)題的指導(dǎo)方法

  因此,只要將你的電腦或手機(jī)更新到最新系統(tǒng),就可以規(guī)避這一漏洞。雖然對(duì)計(jì)算機(jī)性能多少都會(huì)受到一些影響,但由于個(gè)人計(jì)算機(jī)的負(fù)載并不高,因此也不需要太過(guò)擔(dān)心因?yàn)榇蛄搜a(bǔ)丁,就導(dǎo)致電腦性能能到影響!

  我們虛驚一場(chǎng)··