張均威
張均威
【新三才訊】世界三大芯片生產商被爆產品存兩大安全漏洞,影響全球筆記本電腦、台式電腦、智能手機、平板電腦和互聯網服務器。
Intel、ARM已要求用戶下載補丁程序、更新操作系統來修復漏洞,芯片使用商蘋果和微軟公司也發布補丁,希望台式機用戶儘快下載修補。
本次被發現的芯片漏洞共有兩個。第一個叫「熔斷」(Meltdown),可針對英特爾芯片,讓黑客可能繞過用戶運行的程序和電腦內存之間的硬件障礙,讀取電腦內存以及竊取密碼。
第二個漏洞叫「幽靈」(Spectre),影響三大芯片生產商(英特爾、AMD和ARM)的產品,讓黑客可能通過其它可靠性應用(error-free)騙過用戶放棄保密信息。
「這可能是有史以來發現的最糟糕的中央處理器(CPU)漏洞之一。」格拉茨科技大學(Graz University of Technology)研究人員格魯斯(Daniel Gruss)告訴路透社。他是發現「熔斷」漏洞的研究人員之一。
他表示,「熔斷」是短期內最嚴重的問題,但可以用軟件補丁快速止住。但是另一個漏洞「幽靈」則幾乎存在所有的計算機設備中,雖然黑客更難加以利用,但是也不太容易修補,從長遠來看是一個更大的問題。
英特爾首席執行官科再齊(Brian Krzanich)週三(1月3日)接受CNBC採訪時表示,谷歌率先向該公司警告芯片存在安全漏洞,而這段時間英特爾一直在測試使用其芯片的設備製造商推出的補丁程序。
據悉,谷歌分別在2017年6月1日、7月28日告知相關公司發現「幽靈」(Spectre)和「熔斷」(Meltdown)兩個安全漏洞。
科再齊說,他相信黑客尚未利用這一漏洞,且整個產業攜手處理這一問題已有幾個月時間了。「我們沒有發現有黑客利用這一漏洞的事例,現在測試的修補程序是為了防止未來的黑客攻擊。」他說。
另一家芯片製造商ARM的發言人休斯(Phil Hughes)也表示,補丁程序已經與芯片應用商共享,其中包括許多智能手機製造商。
他在郵件中解釋說,補丁針對的是「惡意代碼已經在設備上運行,可能導致的最壞結果是從受保護的內存中獲取小塊數據」。
而芯片製造商AMD也被發現至少存在一個變種的安全漏洞,但也可以通過更新軟件來修補。該公司表示,相信「目前AMD產品幾乎零風險」。
