安全研究人员周三披露了一系列安全缺陷,他们说这些缺陷可能使黑客从几乎所有包含英特尔,Advanced Micro Devices Inc和ARM Holdings芯片的现代计算设备中窃取敏感信息。
其中一个错误特定于英特尔,但另一个错误影响笔记本电脑,台式计算机,智能手机,平板电脑和互联网服务器。英特尔和ARM坚持认为,此问题不是设计缺陷,但需要用户下载补丁程序并更新其操作系统才能修复。
英特尔首席执行官布莱恩·科赞尼奇(Brian Krzanich)在周三下午接受CNBC采访时说,电话,个人电脑,一切都会产生一定的影响,但因产品而异。
关Alphabet公司的Google Project Zero的研究人员与来自多个国家的学术和行业研究人员一起发现了两个缺陷。
相关新闻34万名投资者怀疑未报告收益,IT部门支持LTCG税:报告印度航空的投资减少:政府会采取VRS方式来驯服不合作的工会吗?印度和美国将在特朗普访问之前敲定100亿美元的贸易协议:报告第一种称为Meltdown,它会影响Intel芯片,并使黑客绕过用户运行的应用程序与计算机内存之间的硬件屏障,从而可能使黑客读取计算机的内存并窃取密码。第二种叫做Spectre,影响来自Intel,AMD和ARM的芯片,并让黑客潜在地欺骗没有错误的应用程序放弃秘密信息。
研究人员说,苹果公司和微软公司已经为用户提供了受Meltdown影响的台式机补丁。微软拒绝置评,苹果没有立即返回置评请求。
格拉茨科技大学的研究人员之一丹尼尔·格鲁斯(Daniel Gruss)发现了Meltdown,在接受路透社采访时称它“可能是有史以来最严重的CPU错误之一”。
Gruss说,Meltdown在短期内是更严重的问题,但可以通过软件补丁果断地停止。他说,Spectre是适用于几乎所有计算设备的更广泛的错误,对于黑客来说,利用它的难度更大,但补丁修复起来却不那么容易,从长远来看,这将是一个更大的问题。
英特尔公司的Krzanich在CNBC上发表讲话时说,谷歌研究人员在“前一阵子”告诉英特尔该缺陷,并且英特尔一直在测试修复程序,使用该芯片的设备制造商将在下周推出该修复程序。在问题公开之前,谷歌在其博客上表示,英特尔和其他公司计划于1月9日披露这些问题。谷歌表示,它已于2017年6月1日告知受影响的公司“ Spectre”缺陷,并报告了在第一个缺陷之后但在2017年7月28日之前的“ Meltdown”缺陷。
这些缺陷最早是由技术出版物The Register报道的。它还报告说,修复该问题的更新可能会使英特尔芯片的运行速度降低5%到30%。
英特尔否认这些补丁会破坏基于英特尔芯片的计算机。
英特尔在一份声明中说:“英特尔已经开始提供软件和固件更新,以减轻这些攻击。”“与某些报告相反,任何性能影响都取决于工作量,并且对于普通计算机用户而言,应该不重要,并且随着时间的流逝而减轻。”
ARM发言人菲尔·休斯说,补丁已经与两家公司的合作伙伴共享,其中包括许多智能手机制造商。
休斯在一封电子邮件中说:“这种方法只有在某种类型的恶意代码已经在设备上运行的情况下才有效,并且在最坏的情况下可能导致从特权内存访问少量数据。”
AMD芯片还受到一系列安全漏洞的至少一个变体的影响,但可以通过软件更新进行修补。该公司表示,相信“目前AMD产品的风险几乎为零”。
谷歌在博客文章中说,运行最新安全更新的Android手机受到保护,其拥有最新安全更新的Nexus和Pixel手机也受到保护。Gmail用户无需采取任何其他措施来保护自己,但其Chromebook,Chrome网络浏览器及其许多Google Cloud服务的用户将需要安装更新。
企业使用的云计算服务亚马逊网络服务公司(Amazon Web Services)表示,其大多数互联网服务器已被修补,其余服务器正在修补中。
该缺陷影响了过去十年来生产的英特尔x86处理器芯片上的所谓内核内存,据未具名的程序员称,这使普通应用程序的用户可以辨别芯片上受保护区域的布局或内容。
这可能使黑客有可能利用其他安全漏洞,或者更糟的是,暴露诸如密码之类的安全信息,从而危害单个计算机甚至整个服务器网络。
网络安全咨询公司Trail of Bits的首席执行官Dan Guido表示,企业应该迅速采取行动来更新易受攻击的系统,他希望黑客能够快速开发可用于发起利用漏洞的攻击的代码。Guido说:“这些漏洞的利用将被添加到黑客的标准工具包中。”
该报告发布后,英特尔股价下跌了3.4%,但盘后交易中微涨1.2%,至44.70美元,而AMD股价上涨1%,至11.77美元,回吐了当日早些时候的许多涨幅。报告表明其芯片未受影响。
目前尚不清楚因报告的漏洞英特尔是否将承担任何重大财务责任。
“目前的英特尔问题,如果属实,我们认为可能不需要更换CPU。不过,情况是不稳定的。”纽约罗森布拉特证券公司的汉斯·摩西斯曼(Hans Mosesmann)在一份报告中说,并补充说这有可能损害公司的声誉。