英特尔芯片存巨大安全漏洞 或可泄露敏感信息
2018-01-05 12:40
661 查看
据美国“石英”网(Quartz)1月3日报道,研究人员发现,近几年来英特尔生产的计算机芯片中,绝大多数存在两大安全漏洞,其中一个理论上可能对所有个人计算机、移动设备和云服务器产生影响。
这两个芯片设计漏洞被称为“崩溃”(Meltdown)和“幽灵”(Specter),相关细节公开在由来自谷歌、宾夕法尼亚大学、马里兰大学、奥地利格拉茨技术大学和澳大利亚阿德莱德大学的研究团队以及来自网络安全公司Cyborgs Technology和兰巴斯(Rambus)的研究人员设计的网站上。他们对这两个安全漏洞的影响作了最简单的解释。
据报道,“崩溃”和“幽灵”可利用现代计算机处理器中的关键漏洞,使一些软件程序获取到当前计算机处理的数据。通常情况下,程序无法读取其他程序存储的数据,但恶意程序可以利用Meltdown和Spectre来获取存储在其他运行程序内存中的私密信息,例如存储在密码管理器或浏览器中的密码、个人照片、电子邮件、即时消息甚至商业秘密文件。
报道称,研究团队在其谷歌安全研究博客发表声明,并以一种较为模糊的方式在英特尔网站上作出了回应。他们表示,这些漏洞可能被黑客在没有计算机或用户毫不知情的情况下利用,以获取密码或其他敏感信息。幸运的是,目前尚无证据表明此类事件已经发生。
谷歌方面表示,2017年由谷歌宣布成立的互联网安全项目“Project Zero”团队发现了由投机性执行而导致的重大安全漏洞,这一发现推动相关研究进一步深入。研究人员称,“幽灵”漏洞不会轻易造成破坏,但也不易修复,而且影响力会更为广泛。未来十年中,我们必须时时警惕来自其带来的威胁。
据《纽约时报》报道,微软和苹果公司将发送软件补丁,修复崩溃(Meltdown)漏洞。但目前尚未设计出“幽灵”漏洞的修复程序。研究团队称,幽灵(Specter)可追踪其他应用程序,进入其内存的任意位置,但不容易修复,开发修复程序仍需较长时间。”
根据科技资讯网站The Verge的说法,微软已经开始提供崩溃漏洞的修复程序,该程序可在Windows 10设备上自动运行。科技博客AppleInsider称,由于所有2005年之后生产的Mac电脑都使用英特尔芯片,苹果已经开始修复自家系统macOS。目前,苹果未对说明漏洞影响的具体细节。根据英国科技新闻网站The Register的报道,对英特尔芯片的设备进行修复,都可能降低处理器运行速度,但英特尔对此表示否认。
英特尔发布的声明中称:“英特尔致力于提升产品和客户安全,并与包括超微半导体,安谋公司及多家操作系统供应商在内的其他科技公司紧密合作,开发一种全行业的方法,以迅速且具有建设性的方式解决这个问题。”但正如《泰晤士报》所说,唯一的解决方案就是换掉所有受影响的硬件。
(责任编辑:王擎宇)
这两个芯片设计漏洞被称为“崩溃”(Meltdown)和“幽灵”(Specter),相关细节公开在由来自谷歌、宾夕法尼亚大学、马里兰大学、奥地利格拉茨技术大学和澳大利亚阿德莱德大学的研究团队以及来自网络安全公司Cyborgs Technology和兰巴斯(Rambus)的研究人员设计的网站上。他们对这两个安全漏洞的影响作了最简单的解释。
据报道,“崩溃”和“幽灵”可利用现代计算机处理器中的关键漏洞,使一些软件程序获取到当前计算机处理的数据。通常情况下,程序无法读取其他程序存储的数据,但恶意程序可以利用Meltdown和Spectre来获取存储在其他运行程序内存中的私密信息,例如存储在密码管理器或浏览器中的密码、个人照片、电子邮件、即时消息甚至商业秘密文件。
报道称,研究团队在其谷歌安全研究博客发表声明,并以一种较为模糊的方式在英特尔网站上作出了回应。他们表示,这些漏洞可能被黑客在没有计算机或用户毫不知情的情况下利用,以获取密码或其他敏感信息。幸运的是,目前尚无证据表明此类事件已经发生。
谷歌方面表示,2017年由谷歌宣布成立的互联网安全项目“Project Zero”团队发现了由投机性执行而导致的重大安全漏洞,这一发现推动相关研究进一步深入。研究人员称,“幽灵”漏洞不会轻易造成破坏,但也不易修复,而且影响力会更为广泛。未来十年中,我们必须时时警惕来自其带来的威胁。
据《纽约时报》报道,微软和苹果公司将发送软件补丁,修复崩溃(Meltdown)漏洞。但目前尚未设计出“幽灵”漏洞的修复程序。研究团队称,幽灵(Specter)可追踪其他应用程序,进入其内存的任意位置,但不容易修复,开发修复程序仍需较长时间。”
根据科技资讯网站The Verge的说法,微软已经开始提供崩溃漏洞的修复程序,该程序可在Windows 10设备上自动运行。科技博客AppleInsider称,由于所有2005年之后生产的Mac电脑都使用英特尔芯片,苹果已经开始修复自家系统macOS。目前,苹果未对说明漏洞影响的具体细节。根据英国科技新闻网站The Register的报道,对英特尔芯片的设备进行修复,都可能降低处理器运行速度,但英特尔对此表示否认。
英特尔发布的声明中称:“英特尔致力于提升产品和客户安全,并与包括超微半导体,安谋公司及多家操作系统供应商在内的其他科技公司紧密合作,开发一种全行业的方法,以迅速且具有建设性的方式解决这个问题。”但正如《泰晤士报》所说,唯一的解决方案就是换掉所有受影响的硬件。
(责任编辑:王擎宇)
相关文章推荐
- Android APP端常见安全漏洞---敏感信息泄露漏洞
- JS敏感信息泄露:不容忽视的WEB漏洞
- 英特尔证实芯片存重大安全漏洞
- Linux内核文件offset指针敏感信息泄露漏洞
- 微软IE7浏览器刚推出就现漏洞 可泄露敏感信息
- 【每日安全资讯】教育部人社部财政部三部门规范信息公开--保护隐私杜绝个人敏感信息泄露
- Linux内核文件offset指针敏感信息泄露漏洞
- 阿里巴巴速卖通曝安全漏洞,可能泄露百万用户个人信息
- Android静态安全检测 -> logcat可能泄露隐私敏感信息
- Nginx敏感信息泄露漏洞(CVE-2017-7529)
- 英特尔【inter】芯片被爆设计缺陷漏洞,引发新一轮互联网安全危机
- QQ爆信息泄露漏洞 或危及微信支付安全
- 12306用户信息泄露调查 称存50漏洞未补救
- Linux kernel ‘net/dcb/dcbnl.c’敏感信息漏洞
- APP安全报告第十五期:音乐APP的安全性极低,用户信息存在泄露风险!
- 英特尔芯片漏洞危机:波及谷歌微软 影响你的电脑和手机 | 热点
- 乐视从酷派撤退套现8亿;大姨妈炮轰艾瑞数据造假;英特尔回应芯片漏洞丨价值早报
- Android应用开发allowBackup敏感信息泄露的一点反思
- 【Android平台安全方案】の #00-请不要在外部存储(SD卡)加密存储的敏感信息
- 微博泄露个人信息,须加强信息安全意识