您現(xiàn)在的位置:海峽網(wǎng)>新聞中心>IT科技>科技前沿
分享

安妮 發(fā)自 凹非寺

量子位 出品 | 公眾號(hào) QbitAI

剛剛,英特爾再次被曝出芯片安全漏洞,代號(hào)“ZombieLoad”,譯為“喪尸負(fù)載”。

這個(gè)漏洞主要有兩個(gè)特點(diǎn)。

一是覆蓋范圍極大。

科技媒體TechCrunch大致推測(cè),這次漏洞的波及范圍幾乎為所有2011年裝有英特爾芯片的計(jì)算機(jī)。

也就是說,無論是蘋果電腦還是微軟電腦,無論計(jì)算機(jī)系統(tǒng)如何,都會(huì)通通中招,不能幸免。

二是危及用戶隱私安全。

黑客可以利用這些漏洞,進(jìn)而查看用戶實(shí)時(shí)訪問著哪些網(wǎng)站,并且很容易重新利用這些信息獲取用戶密碼和訪問令牌賬戶。

你的隱私,可能就這樣莫名暴露無疑。

英特爾再現(xiàn)安全漏洞:2011年后計(jì)算機(jī)幾乎全中槍

這讓網(wǎng)友一下子炸了,登上了TechCrunch、Techmeme等多家科技媒體頭條。

英特爾再現(xiàn)安全漏洞:2011年后計(jì)算機(jī)幾乎全中槍

英特爾再現(xiàn)安全漏洞:2011年后計(jì)算機(jī)幾乎全中槍

這是個(gè)怎樣的漏洞?

設(shè)計(jì)缺陷

喪尸負(fù)載是一種側(cè)通道攻擊,也就是說,時(shí)間信息、功率消耗、電磁泄露甚至聲音等額外信息來源都就可以是黑客下手的契機(jī)。

對(duì)于英特爾用戶來說,黑客無需注入惡意代碼,就能通過這種漏洞黑掉一臺(tái)計(jì)算機(jī)。

這是一種微架構(gòu)數(shù)據(jù)采樣(MDS)攻擊,通過利用CPU中的加載、存儲(chǔ)等微體系結(jié)構(gòu)中的推測(cè)執(zhí)行操作,能推斷出其他應(yīng)用程序正在CPU中處理的數(shù)據(jù),進(jìn)而竊取數(shù)據(jù)。

簡(jiǎn)單來說,它能讓處理器無法理解和正確處理數(shù)據(jù),迫使處理器尋求處理器微指令(microcode)的幫助防止系統(tǒng)崩潰。

通常,一個(gè)應(yīng)用程序只能看到自己應(yīng)用中的數(shù)據(jù),但是當(dāng)喪尸負(fù)載漏洞出現(xiàn)后,可讓數(shù)據(jù)留出這些邊界墻,將泄露處理器當(dāng)前加載的所有核心數(shù)據(jù)。

發(fā)現(xiàn)這個(gè)漏洞的研究人員之一的Daniel Gruss表示,受喪尸負(fù)載影響的PC和筆記本電腦不僅僅是易受攻擊的云,它也可在虛擬機(jī)中被觸發(fā)。

總而言之,這個(gè)漏洞就可以用一個(gè)成語概括:防不勝防。

Daniel Gruss表示,雖然還沒有有用戶被攻擊的報(bào)道,但研究人員不排除會(huì)出現(xiàn)這種情況,因?yàn)?strong>任何攻擊都不會(huì)留下痕跡……

英特爾再現(xiàn)安全漏洞:2011年后計(jì)算機(jī)幾乎全中槍

記得更新

作為普通用戶,應(yīng)該如何預(yù)防自己的電腦受到攻擊呢?

TechCrunch認(rèn)為,作為普通用戶,其實(shí)也沒必要太過恐慌。

黑客無法立刻通過這個(gè)漏洞入侵你的電腦,還需要進(jìn)行特殊的技巧才能進(jìn)行攻擊,除非在應(yīng)用程序中編譯代碼或是有惡意軟件從中作祟,則無需太過擔(dān)心。

當(dāng)然,還是防患于未然的好。

目前,英特爾已經(jīng)準(zhǔn)備好修復(fù)MDS文件,但需要通過不同的操作系統(tǒng)部署補(bǔ)丁。英特爾表示,安裝微指令的補(bǔ)丁將有助于清除處理器的緩存區(qū),防止數(shù)據(jù)被讀取。

蘋果表示,最新版的MacOS Mojave操作系統(tǒng)和Safari桌面瀏覽器的更新已經(jīng)包含了修復(fù)程序,因此Mac用戶應(yīng)該下載最新的更新即可,無需進(jìn)行額外操作。

谷歌也表示,最近的產(chǎn)品已經(jīng)包含一個(gè)修復(fù)程序,只要chrome瀏覽器用戶使用的是最新版本,就自帶了漏洞的補(bǔ)丁。

而微軟發(fā)布了一份準(zhǔn)備好的聲明,表示將在今天晚些時(shí)候準(zhǔn)備好修復(fù),建議Windows 10用戶下載此修補(bǔ)程序。

這些補(bǔ)丁可用來修復(fù)易受攻擊的英特爾處理器,包括Intel Xeon、Intel Broadwell、Sandy Bridge、Skylake和Haswell芯片等。

TechCrunch預(yù)計(jì)其他公司可能會(huì)繼續(xù)跟進(jìn)編寫補(bǔ)丁。

無獨(dú)有偶

英特爾的每一次安全漏洞,都會(huì)潛在影響數(shù)億用戶群體,此前的漏洞“熔斷”和“幽靈”也曾鬧得沸沸揚(yáng)揚(yáng)。

并且波及范圍不比這次小。

2017年,谷歌旗下的信息安全團(tuán)隊(duì)Project Zero首先發(fā)現(xiàn)了由CPU“預(yù)測(cè)執(zhí)行”(Speculative Execution)引起芯片漏洞:即“Spectre(幽靈)”和“Meltdown(熔斷)”。

英特爾再現(xiàn)安全漏洞:2011年后計(jì)算機(jī)幾乎全中槍

它們均由架構(gòu)設(shè)計(jì)缺陷導(dǎo)致,可以讓普通非特權(quán)程序訪問到系統(tǒng)內(nèi)存讀取敏感信息,帶來隱私和設(shè)備安全隱患。

經(jīng)外媒The Register報(bào)道后,此事引發(fā)軒然大波。Project Zero研究員表示這三處漏洞波及范圍巨大,每個(gè)1995年后發(fā)布的處理器都會(huì)受到影響。并且,除英特爾外,AMD,ARM的處理器也有風(fēng)險(xiǎn)。

也就是說,無論是Windows,Linux,Mac系統(tǒng)還是智能手機(jī)安卓系統(tǒng)都不安全了。還有消息稱除非重新設(shè)計(jì)芯片,否則風(fēng)險(xiǎn)無法完全排除,且修復(fù)后系統(tǒng)性能會(huì)下降。

去年,英特爾處理器又有三大漏洞曝光,從遍布個(gè)人電腦的Core(酷睿)到服務(wù)器上的Xeon(至強(qiáng)),都受到影響。黑客可能會(huì)利用這些漏洞來竊取信息。

這次漏洞被稱為L(zhǎng)1TF,或者L1 Terminal Fault。和之前的著名漏洞熔斷、幽靈一樣,運(yùn)用的都是預(yù)測(cè)執(zhí)行(speculative execution)計(jì)算技術(shù)中的缺陷。

也就是說,處理器要高效運(yùn)行,就需要對(duì)下一步可能執(zhí)行的操作進(jìn)行有根據(jù)的預(yù)測(cè)。猜對(duì)了,就能節(jié)約資源,而基于錯(cuò)誤猜測(cè)進(jìn)行的操作,會(huì)被拋棄掉。

但這個(gè)過程會(huì)留下線索,比如處理器完成某個(gè)請(qǐng)求所需的時(shí)間,就帶有意想不到的信息。黑客能從這些蛛絲馬跡中發(fā)現(xiàn)弱點(diǎn),操縱這種“預(yù)測(cè)”的路徑,在適當(dāng)?shù)臅r(shí)候,挖掘到從進(jìn)程數(shù)據(jù)緩存里泄露出來的數(shù)據(jù)。

而這個(gè)漏洞中,就可以利用一個(gè)名為L(zhǎng)1的數(shù)據(jù)緩存,可以訪問SGX保護(hù)的內(nèi)存“飛地”。這些研究人員同時(shí)也發(fā)現(xiàn),攻擊可以暴露讓SGX執(zhí)行完整性檢查的“證明密鑰”。

責(zé)任編輯:肖舒

       特別聲明:本網(wǎng)登載內(nèi)容出于更直觀傳遞信息之目的。該內(nèi)容版權(quán)歸原作者所有,并不代表本網(wǎng)贊同其觀點(diǎn)和對(duì)其真實(shí)性負(fù)責(zé)。如該內(nèi)容涉及任何第三方合法權(quán)利,請(qǐng)及時(shí)與ts@hxnews.com聯(lián)系或者請(qǐng)點(diǎn)擊右側(cè)投訴按鈕,我們會(huì)及時(shí)反饋并處理完畢。

最新科技前沿 頻道推薦
進(jìn)入新聞?lì)l道新聞推薦
iQOO 13銷量創(chuàng)下新紀(jì)錄 上市首日超越所
進(jìn)入圖片頻道最新圖文
進(jìn)入視頻頻道最新視頻
一周熱點(diǎn)新聞
下載海湃客戶端
關(guān)注海峽網(wǎng)微信
?

職業(yè)道德監(jiān)督、違法和不良信息舉報(bào)電話:0591-87095414 舉報(bào)郵箱:service@hxnews.com

本站游戲頻道作品版權(quán)歸作者所有,如果侵犯了您的版權(quán),請(qǐng)聯(lián)系我們,本站將在3個(gè)工作日內(nèi)刪除。

溫馨提示:抵制不良游戲,拒絕盜版游戲,注意自我保護(hù),謹(jǐn)防受騙上當(dāng),適度游戲益腦,沉迷游戲傷身,合理安排時(shí)間,享受健康生活。

CopyRight ?2016 海峽網(wǎng)(福建日?qǐng)?bào)主管主辦) 版權(quán)所有 閩ICP備15008128號(hào)-2 閩互聯(lián)網(wǎng)新聞信息服務(wù)備案編號(hào):20070802號(hào)

福建日?qǐng)?bào)報(bào)業(yè)集團(tuán)擁有海峽都市報(bào)(海峽網(wǎng))采編人員所創(chuàng)作作品之版權(quán),未經(jīng)報(bào)業(yè)集團(tuán)書面授權(quán),不得轉(zhuǎn)載、摘編或以其他方式使用和傳播。

版權(quán)說明| 海峽網(wǎng)全媒體廣告價(jià)| 聯(lián)系我們| 法律顧問| 舉報(bào)投訴| 海峽網(wǎng)跟帖評(píng)論自律管理承諾書

友情鏈接:新聞?lì)l道?| 福建頻道?| 新聞聚合