研究人员昨天揭露,现代电脑和许多行动装置搭载的芯片存在 2 大资安漏洞,影响遍及全球数十亿台装置。相关科技公司已急忙采取补救措施,但专家至今仍难以确知冲击程度。
法新社报导,Google 公司(Google Inc.)的研究人员昨天发布称为灾难(Meltdown)和幽灵(Spectre)2 项网络安全漏洞的细节。两漏洞因出自芯片本身,且涉及芯片防护电脑上和网络上个人资料的方式,因此和许多其他资安漏洞不同。
研究人员还说明,骇客可能如何利用漏洞取得使用者密码、加密程式码和更多资讯。尽管目前为止,尚未传出任何利用漏洞进行攻击的行动。不过,资安专家今天仍呼吁各电脑系统用户紧急安装软件更新。
谋智(Mozilla)研究员华格纳(Luke Wagner)在部落格发文表示:“我们目前仍在调查这种等级的攻击全部的影响范围,并且正和资安研究人员及其他浏览器开发商合作,以全面了解威胁和解决方法。”
资安企业迈克菲(McAfee)技术长葛罗布曼(Steve Grobman)指出,新发现的漏洞“冲击了现代电脑加强(操作系统)保护的根本基础能力。企业和消费者应该在补救措施发布后,立即更新操作系统和安装修补软件。”
初步漏洞报告主要点名电脑芯片业巨擘英特尔公司(Intel Inc.)的产品,英特尔则发布声明表示,公司和伙伴企业“在展开软件升级方面已有重大进展”,得以减轻任何威胁的冲击。
声明还说:“英特尔预期,已对过去5年推出的处理器产品当中超过 90% 发布软件更新。此外,许多操作系统开发商、公共云端服务供应商、装置制造商和其他机构也表明,已将产品和服务进行软件更新。”
不过,与资安追踪机构 SANS 网络风暴中心(SANS Internet Storm Center)合作的资安公司 Fidelis Cybersecurity 研究员班贝涅克(John Bambenek)警告,现在要知道问题范围可能还太早。
他在部落格发文写道:“从漏洞遍布程度来看,这个问题很可能恰如其名。”
研究人员在专门讨论这 2 个资安漏洞的网站上表示,它们影响个人电脑(PC)、行动装置和云端运算,且让攻击者可能“获取其他正在使用中的程式里内存储存的机密,包括储存在密码管理员或浏览器里你的密码,或是你的私人相片、电子邮件、即时简讯,甚至是十分重要的业务文件。”
一些专家还指出,在部分情况下,唯一真正的解决方法可能是直接更换芯片。这对电脑产业而言会是个大问题。
班贝涅克说:“Spectre 尤其无法光靠修补软件完全挡住,似乎需要从硬件解决。好消息是,利用Spectre 漏洞的难度较高。”
(译者:张正芊)
延伸阅读:
- 关于 Intel 处理器的“Meltdown”与“Spectre”漏洞,我们该知道些什么?
- 苹果全产品遭芯片漏洞波及,急释更新补救
- Intel 处理器“有鬼”,Google 说明旗下 Android、Chrome 浏览器、Chromebook 等更新方案
