关于一号站娱乐
关于一号站娱乐 您现在的位置: 一号站娱乐 > 关于一号站娱乐

科技巨头纷纷采取措施应对两大芯片缺陷

  加入日期:2018-01-09 14:06    点击量:2460

全球电脑芯片和软件生产商周四忙于应对网络安全专家披露的两个普遍存在的硬件漏洞,这些漏洞可能对全球大量计算设备造成影响。

科技制造企业和研究人员将被称为Spectre和Meltdown的这两种漏洞描述为多数现代芯片长期以来存在的设计缺陷。这两种漏洞使得存储在共享服务器和个人设备(包括个人电脑、平板电脑和智能手机)内存储器中的数据极易受到攻击。

上述漏洞可能会给黑客访问和窃取电脑设备及服务器中的数据创造机会。不过,要想利用这两个漏洞,黑客必须在其目标机器的中央处理器(相当于现代计算设备的大脑)上运行恶意软件。

一些政府网络安全机构和企业表示,到目前为止还没有出现与上述两个漏洞相关的任何重大入侵报告。

尽管如此,考虑到漏洞广泛存在的事实,英特尔公司(Intel Co., INTC)、微软(Microsoft Co., MSFT)、亚马逊公司(Amazon.com Inc., AMZN)、Alphabet Inc.(GOOG)旗下谷歌和其他公司都迅速采取了行动,对这些漏洞的性质以及他们为将威胁最小化所采取的措施作出解释,其中包括推出软件补丁程序。但安全专家警告说,一些补丁可能导致电脑运行速度减慢,截至周四尚不清楚上述漏洞是否已造成重大破坏。

美国国土安全部下属网络安全机构计算机应急准备小组(Computer Emergency Readiness Team, 简称CERT)周三晚些时候表示,已经知晓这两处漏洞。CERT鼓励系统管理员联系软件供应商寻找修补漏洞的方法。CERT表示不知晓任何“积极利用”这些漏洞的行为。

英国情报部门下属机构国家网络安全中心(National Cyber Security Centre, 简称NCSC)一名发言人称,未注意到“恶意利用”这些漏洞的迹象。这位发言人称,NCSC向所有机构和家庭用户建议,补丁程序一旦发布就尽快安装,以保护系统免受威胁。

谷歌称,该公司研究人员此前已发现上述漏洞,原本计划在本月晚些时候披露这些漏洞以及谷歌为修补这些漏洞所采取的行动。但在周三这些漏洞被广泛披露之后,谷歌加快了行动。为保护系统免受黑客入侵,企业和研究人员通常暂不广泛披露漏洞,以最大程度地降低黑客利用相关漏洞的风险。

谷歌称,公司许多产品受漏洞威胁的可能性已降低。比如,谷歌表示,安装了最新安全补丁的Android操作系统用户不需要再做任何其他事情。不过,谷歌Chrome浏览器的用户在某些情况下要采取具体行动来保护他们的系统。

谷歌还表示,已经修补了租给企业的云平台。但该公司表示,其云服务客户必须在自身系统中安装相关补丁程序。

亚马逊表示,已通知其网络服务客户公司正在修补数据中心的漏洞。亚马逊称,客户需要修补其在亚马逊基础设施上运行的操作系统。微软表示,一直在与芯片制造商紧密合作,开发并测试消减风险的方案以保护客户。

这些漏洞对多用户共享的设备尤其构成风险﹐例如数据中心用于云计算的设备﹐因为漏洞可让一位用户获取属于其他用户的敏感数据﹐如密码或加密密钥。

这些漏洞利用了现代芯片用以加快运行速度的技巧﹐即芯片执行运算时会打乱次序﹐或是推测将要执行什么样的运算﹐而不是等待按顺序完成每一步所需的全部信息。研究人员指出﹐黑客可以利用这些推测或次序打乱的指令﹐诱使芯片泄露存储于该处理器内存中其它位置的敏感数据。

Meltdown漏洞可让软件跳过通常对访问设备内存加以限制的保护﹐使黑客得以访问该设备的核心功能以及来自其他用户的数据。研究人员表示﹐这种漏洞比Spectre易于修补﹐但打完补丁后可能会使设备的运行速度变慢。

在周三晚间召开的电话会议上﹐英特尔数据中心工程部门总经理Stephen Smith表示﹐对漏洞的任何潜在利用并非由产品缺陷导致﹐处理器的确是以应有的方式运行﹐也是设计并经过验证的方式。

他称,软件补丁有助于减轻漏洞带来的危害,英特尔已经发起一项全行业的协作,以便在硬件上采取补救措施。

目前微软Windows、苹果公司(Apple Inc., AAPL) Mac OS和Linux等开源操作系统已有可用于防范Meltdown漏洞的补丁。但是否运行补丁取决于各家公司,比如云服务供应商。

据卡内基梅隆大学(Carnegie Mellon University)获联邦资助的网络安全中心称,Spectre漏洞是现代芯片设计方式一个根深蒂固的缺陷,虽然有些补丁能够拦阻已知攻击,但彻底解决问题需要对电脑芯片进行重新设计,然后把现正使用的产品替换掉。

据英国一位芯片设计师称,Spectre漏洞似乎影响到由英特尔、Advanced Micro Devices Inc. (AMD, 简称AMD)和软银集团股份有限公司(SoftBank Group Corp., 9984.TO)旗下ARM设计或生产的芯片。

ARM一名发言人称,公司大部分处理器产品未曾受影响,受影响的是某些高端芯片。这名发言人称,ARM正在和英特尔还有AMD展开合作,对利用相关漏洞的攻击未雨绸缪;他称,问题并非产品结构存在缺陷或漏洞,即便出现最坏的情况,黑客恐怕也只能获取一小部分数据。

AMD在一份声明中称,软件补丁已经解决了其中一个预期影响微不足道的漏洞,此外,由于AMD芯片设计方式不同,产品遭到另一漏洞攻击的风险几乎为零。