世界三大晶片生產商被爆產品存兩大安全漏洞,影響全球手提電腦、桌面電腦、智能手機、平板電腦和互聯網服務器。
目前,生產商英特爾(Intel)、ARM已要求用戶下載更新程序、更新操作系統來修復漏洞,晶片使用商蘋果和微軟公司也發佈更新,希望桌面機用戶儘快下載修補。
英國科技媒體「紀事報」(The Register)在周二(1月2日)率先披露晶片產品存在安全漏洞。
綜合多家媒體報道,本次被發現的晶片漏洞共有兩個。第一個叫「熔斷」(Meltdown),可針對英特爾晶片,讓黑客可能繞過用戶運行的程序和電腦內存之間的硬件障礙,讀取電腦內存以及竊取密碼。
第二個漏洞叫「幽靈」(Spectre),影響三大晶片生產商(英特爾、AMD和ARM)的產品,讓黑客可能通過其它可靠性應用(error-free)騙過用戶放棄保密信息。
格拉茨科技大學(Graz University of Technology)研究人員格魯斯(Daniel Gruss)告訴路透社,「這可能是有史以來發現的最糟糕的中央處理器(CPU)漏洞之一。」他是發現「熔斷」漏洞的研究人員之一。
他表示,「熔斷」是短期內最嚴重的問題,但可以用軟件更新快速止住。但是另一個漏洞「幽靈」則幾乎存在所有的電腦設備中,雖然黑客更難加以利用,但是也不太容易修補,從長遠來看是一個更大的問題。
晶片商:漏洞未被黑客利用 更新程序可修復
英特爾首席執行官科再齊(Brian Krzanich)周三(1月3日)接受CNBC採訪時表示,谷歌率先向該公司警告晶片存在安全漏洞,而這段時間英特爾一直在測試使用其晶片的設備製造商推出的更新程序。
據悉,谷歌分別在2017年6月1日、7月28日告知相關公司發現「幽靈」(Spectre)和「熔斷」(Meltdown)兩個安全漏洞。
科再齊說,他相信黑客尚未利用這一漏洞,且整個產業攜手處理這一問題已有幾個月時間了。他說,「我們沒有發現有黑客利用這一漏洞的事例,現在測試的修補程序是為了防止未來的黑客攻擊。」
對於媒體報道,修補程式可能導致英特爾晶片運行速度降低5%-30%,英特爾公司否認了這一說法。該公司在周三的聲明中說:「任何性能影響都取決於工作負載。對普通電腦用戶而言,不會受到太大的影響,且這種影響會隨著時間的推移而減輕。」
另一家晶片製造商ARM的發言人侯斯(Phil Hughes)也表示,更新程式已經與晶片應用商共享,其中包括許多智能手機製造商。
他在郵件中解釋說,更新針對的是「惡意代碼已經在設備上運行,可能導致的最壞結果是從受保護的內存中獲取小塊數據」。
而晶片製造商AMD也被發現至少存在一個變種的安全漏洞,但也可以通過更新軟件來修補。該公司表示,相信「目前AMD產品幾乎零風險」。
下游科技公司表示已做好防範 提醒用戶升級
多家下游科技公司,包括微軟、谷歌、雲服務商也表示已對安全漏洞進行防範、預防攻擊。
「我們已掌握了這一業內廣泛存在的問題,並致力於同晶片製造商進行緊密的合作、開發和測試緩解措施來保護我們的用戶。」微軟發言人周三表示,「我們正在為雲服務部署緩解措施,並已向Windows用戶發佈了安全更新,來防禦英特爾、ARM和AMD的晶片受到黑客攻擊的影響。」
谷歌則表示,已對公共雲服務進行更新,以預防與「熔斷」和「幽靈」相關的攻擊。「我們使用了自己的虛擬機實時遷移(VM Live Migration)技術,確保在更新時不會影響到用戶,用戶不需要就此重新啟動設備。」
此外,谷歌在公開的博客文章中指,安卓(Android)、Nexus和Pixel手機已經進行安全更新。而Gmail用戶不需要採取任何額外行動來保護,但Chromebook、Chrome網絡瀏覽器及其許多Google雲服務的用戶需要安裝更新。
亞馬遜(Amazon)向AWS雲服務用戶表示:「該安全漏洞存在於英特爾、AMD和ARM的廣泛遍及服務器、台式機和移動設備的現代處理器中已有20多年。」他們已對AWS幾乎所有的服務器都採取了防護措施,不過AWS用戶仍需要對自用的操作系統打更新。
英特爾股價周三在納斯達克證券市場逆市下跌1.59美元,跌幅為3.39%,報收於45.26美元。受英特爾處理器出現重大安全漏洞這一消息的影響,該公司股價盤中一度跌幅超過6%,跌至43.65美元。
------------------
🏵️《九評》20周年
https://hk.epochtimes.com/category/專題/退黨大潮
🔔下載大紀元App 接收即時新聞通知
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand