史诗级漏洞来袭谁也逃不了?
芯片设计存在缺陷黑客轻松获取密码电脑手机均受波及目前无法彻底修复
近日,全球最大芯片厂商英特尔公司芯片被披露存在严重技术缺陷。专业人士指出,英特尔芯片缺陷导致的漏洞可能影响几乎所有电脑和移动设备用户的个人信息安全,受波及设备数以亿计。
更让人感到担忧的是,目前这一漏洞并不能完美修复,而修补过程可能导致全球个人电脑性能明显下降,也可能对云计算、人工智能等领域构成冲击。
正因如此,这个关系计算机“大脑”的设计缺陷被称为是“史诗级漏洞”,已经引发全球用户对信息安全的担忧,正演化为一场全球性的安全事件。
疑问1 史诗级漏洞是啥?计算机“大脑”存在缺陷黑客可轻松获得密码密钥
据报道,有关英特尔芯片漏洞细节的报告最先发布在由谷歌公司、美国宾夕法尼亚大学、马里兰大学、奥地利格拉茨技术大学、澳大利亚阿德莱德大学等机构研究人员联合设计的网站上。
芯片组是负责联系中央处理器和周边设备运作的计算机主板核心组成部分,被称为计算机的“大脑”。这份报告披露,包括英特尔在内的各主流芯片,其底层技术都采用了一种叫“推测性执行”的方法,该方法可能在执行解除后产生无法消除的副作用,从而导致计算机信息泄露。
谷歌“零点项目”团队介绍了3种不同攻击方式,前两种方式被称为“熔断”(Meltdown),后一种被称作“幽灵”(Spectre)。该团队认为,这个设计缺陷具有3个特点:首先,没有任何一个补丁可以同时抵御3种攻击方式;其次,与传统病毒不同,攻击不会留下痕迹,计算机无法在被攻击时发现;第三,恶意攻击者可以从一台虚拟设备上发起攻击,侵入主机的物理内存,“借道”获取其他虚拟设备信息。
“零点项目”是2014年7月由谷歌公司启动的互联网安全项目,成员主要由谷歌内部顶尖安全工程师组成,专门负责找出网络系统安全漏洞。“零点项目”研究员詹·霍恩解释说,黑客可以利用该方法读取设备内存,获得密码、密钥等敏感信息。
疑问2危害到底有多严重?从电脑到智能手机无一幸免联网功能最高将下降30%
分析人士认为,英特尔1995年后生产的绝大多数芯片都暴露在风险之中,漏洞波及了大量设备,带来的问题主要体现在几个方面:
第一,波及面广。
英特尔4日发表声明回应说,缺陷并非仅存于英特尔的产品,采用许多不同供应商提供的处理器和操作系统的设备都很容易遭受类似攻击。“零点项目”和其他一些业内人士也认为,超威半导体公司(AMD)和阿姆控股公司等其他主流芯片制造商的产品都可能存在类似缺陷。
苹果公司4日承认,其所有的Mac电脑和ios移动设备都存在芯片缺陷,问题产品将使用户的信息安全隐私遭受侵害。
以上消息意味着,几乎没有任何公司的产品能够摆脱这个史诗级漏洞,每一个人都会受到影响。
专家指出,理论上,这个技术缺陷将影响到自1995年以来发布的几乎所有处理器。波及的范围,则是从台式机到笔记本,从智能手机到服务器,任何基于英特尔芯片运行的微软“视窗”、Linux、苹果MacOS、ios和安卓等主流操作系统,以及谷歌、亚马逊等公司提供的大型云计算服务都可能受到影响。
第二,或存后遗症。
业内人士称,现有防护补丁将增加中央处理器负荷,漏洞即使得到修复,也可能导致全球个人电脑性能明显下降。英特尔基于Linux系统的开发者汉森认为,补丁将使芯片运转效率降低约5%,对联网功能的影响甚至高达30%。但英特尔否认类似说法,认为补丁对芯片影响会随时间减弱。有专家表示,修复漏洞可能导致部分苹果公司产品运行速度下降。
第三,产业关切深。
英特尔的芯片在物联网、无人驾驶、5G、人工智能、深度学习等新兴领域广泛应用,安全漏洞对这些领域造成的威胁可能从网络向现实世界延伸。而云计算等服务对芯片计算能力的需求呈指数级提升,修补漏洞对芯片计算效率的影响可能拖慢整个行业发展。
疑问3漏洞能够修复吗?无法阻止所有攻击方式全部更换设备几无可能
分析认为,对于这一史诗级漏洞,目前来看要实现完美修复有难度。
据报道,尽管谷歌、微软、亚马逊等公司正在陆续推出补丁,但是这些“缓解措施”不能阻止所有的攻击。像往常一样,这些补丁只会影响到一小部分新的和快速更新的用户与设备,或那些可以直接自行执行更新的公司。
专家指出,这些补丁主要针对被称为“崩溃”的两种攻击方法,防范“幽灵”攻击则需对硬件进行升级,而更换全球大多数计算设备难度巨大。
更持久的解决方案是需要对电路板进行大量更改。要知道,我们设备已经用了几年甚至几十年,一旦需要重新设计,这绝非易事。
值得注意的是,此次事件不存在“召回”。如果漏洞仅影响一个单一的设备,好比三星手机的电池问题,召回是可以解决问题的。但是目前的这个问题,影响到数百万甚至数十亿台设备,召回几乎不可能。
●教你一招
CPU漏洞咋修补这份指南送给你
1.检查Windows升级,安装最新升级补丁
微软已通过系统升级发布了一个紧急安全补丁,但是如果使用的是第三方安全杀毒软件或者将Update关闭,那么你可能还没有看到这个补丁。建议大家检查Update是否开启了自动检查,如果屏蔽掉更新的话建议大家开启,毕竟安全是最重要的。
2.检查你的浏览器,更新到最新版本
最新版本的IE浏览器和Edge浏览器已更新了相应的安全漏洞;
谷 歌 表 示 ,将 推 出Chrome 64的漏洞修复版本,计划于1月23日发布;
苹果没有说明是如何计划修复Safari浏览器。
3.检查电脑配件商的更新,安装驱动更新或BIOS更新
英特尔的固件更新需要时刻检查,主板厂商也会放出相应的驱动更新,建议大家第一时间更新自己主板厂商提供的固件。(综合新华社、中新社等报道)
新闻推荐
首次有北约成员国购买俄制防空导弹 俄土防空导弹订单深深刺痛北约
新华社北京1月5日电俄罗斯近期与土耳其签署贷款协议,自此土耳其距离正式部署俄S-400防空导弹系统(右图)又近一步。分析人士认为,此事深深地刺痛了北约。土耳其成为第一个购买俄制防空导弹的北约成员国...