稍早關於英特爾所爆發的嚴重漏洞,英特爾發佈聲明,證實其晶片存在一項可能容易遭駭的「功能」,當被用於惡意目的時,有可能從被操縱的運算裝置中不當地收集敏感性資料;英特爾認為,這些攻擊沒有可能損壞、修改或刪除資料。
根據至今的分析,許多類型的運算裝置(來自許多不同供應商的處理器和作業系統)都會容易受到類似攻擊,其他公司的晶片也有同樣問題, AMD 則回應 ,其晶片的設計和製造有別於英特爾,遭遇類似問題的「風險接近零」,不過稍早 Google 已在官方部落格,受影響的不只是英特爾,近年的 CPU 廠商都受這個為「推測性執行」的漏洞影響。
Google 在指出,他們的資安團隊 Project Zero 在去年發現這個來自大多數 CPU 用來優化的技術-「推測性執行」Speculative Execution 有嚴重的安全漏洞,「推測性執行」是為了提高性能和電腦資源的使用率,指令可以在還沒有被確定的各項指示,進行預測提前排定處理。
Project Zero 的研究人員 Jann Horn 表示,駭客可以利用此來讀取其他系統的記憶體。未經對方授權就可讀取記憶體中的資訊,例如:密碼、加密密鑰或應用程序中打開的用戶資料。包括英特爾,AMD 和 ARM 的某些處理器。對於部分 Intel 和 AMD CPU 型號,他們有攻擊真實軟體的漏洞,並將結果報告在去年六月交給這些廠商。
原先協調這項消息要在下周 1/9 公開發布,不過隨著外界報導越來越多的推測,Google 決定提早向大眾說明問題,同時 Google 也公布了其受影響的產品並提供保護解決方案, Google Apps / G Suite:Gmail、日曆、雲端硬碟等不受影響,其他使用 Google Chrome 或 Android 的處理可見 官方 ,Google Chrome 的 iOS 使用者則需由蘋果修補。
英特爾稍早在新聞稿表示,已開始提供軟體、韌體更新來抵禦這些破壞。與某些報導指出的恰好相反,不同負載受影響程度不同。對於一般的電腦使用者來說影響並不顯著,而且會隨著時間的推移而減輕。
延伸閱讀:
from INSIDE 硬塞的網路趨勢觀察 http://ift.tt/2qpg4lu
沒有留言:
張貼留言