欧美在线免费观看亚洲,91在线观看免费,亚洲免费视频网站

英特爾現(xiàn)芯片史上最大漏洞必須重新設(shè)計(jì)liunx和windows的內(nèi)核

劉艷　2018年01月05日 09:52

去年底爆出管理引擎存在安全漏洞的風(fēng)波剛剛平息，北京時(shí)間1月2日，英特爾芯片存在嚴(yán)重安全漏洞的消息被科技媒體The Register踢爆，英特爾幾乎滲透進(jìn)所有人生活的現(xiàn)實(shí)，引得許多難明真相的業(yè)外群眾都跟著激動(dòng)。

雖然漏洞的具體情況還待證實(shí)，但理論上，這次曝出的漏洞讓所有能訪問(wèn)虛擬內(nèi)存的CPU都可能被人惡意訪問(wèn)，理應(yīng)受保護(hù)的密碼、應(yīng)用程序密匙等重要信息因此面臨風(fēng)險(xiǎn)。今天早晨，科技日?qǐng)?bào)記者收到的英特爾官方聲明強(qiáng)調(diào)，這些攻擊沒(méi)有可能損壞、修改或刪除數(shù)據(jù)。

據(jù)說(shuō)英特爾和相關(guān)科技公司已完全了解了安全漏洞的工作機(jī)制，正和包括AMD、ARM和操作系統(tǒng)供應(yīng)商在內(nèi)的軟硬件小伙伴一起“開(kāi)發(fā)一種適應(yīng)于全行業(yè)的方法”以“迅速并具有建設(shè)性地解決問(wèn)題”。

提前發(fā)聲明：喊冤+正視聽(tīng)

原本英特爾和微軟、谷歌等計(jì)劃下周公開(kāi)漏洞并給出解決方案，但是，英特爾顯然對(duì)各種“隱瞞不報(bào)、偷著修復(fù)”“性能大損失”“Intel x86設(shè)計(jì)十年大BUG”等指責(zé)不能忍，提前發(fā)表了聲明。

首先，針對(duì)“該漏洞僅是Intel x86-64處理器的設(shè)計(jì)BUG或缺陷”，英特爾得冤枉，它在聲明中說(shuō)：“媒體報(bào)道稱這一安全問(wèn)題是由一處‘缺陷’引起的，而且僅影響英特爾芯片的說(shuō)法不正確。基于目前分析，許多類型的計(jì)算設(shè)備(包括許多不同廠商的處理器和操作系統(tǒng))都容易受到這些漏洞的攻擊。”此話不假，AMD、ARM的服務(wù)器系統(tǒng)也遭波及。

其次，一些報(bào)告認(rèn)為，這個(gè)芯片級(jí)安全漏洞的修補(bǔ)程序并不完善，即使完成了修復(fù)，也會(huì)對(duì)性能造成嚴(yán)重影響。“可能導(dǎo)致5%到30%的性能下降”，成為最廣泛流行的預(yù)測(cè)。

英特爾的反駁翻譯成小白能懂的話就是：性能問(wèn)題與工作負(fù)載強(qiáng)相關(guān)，不能一概而論。對(duì)一般用戶來(lái)說(shuō)，影響并不顯著，即便性能削弱，也會(huì)隨著時(shí)間的推移得到緩解。

英特爾發(fā)布聲明后，AMD和ARM均表示將積極與合作伙伴防止安全漏洞出現(xiàn);谷歌Project Zero安全團(tuán)隊(duì)第一時(shí)間站出來(lái)聲援Intel，稱安卓等相關(guān)系統(tǒng)已經(jīng)得到修復(fù)，可以抵御此次風(fēng)險(xiǎn)。

針對(duì)科技日?qǐng)?bào)記者對(duì)此次漏洞的詢問(wèn)，微軟發(fā)言人的回復(fù)應(yīng)該可以正視聽(tīng)：“我們知悉這一有廣泛行業(yè)影響的問(wèn)題，并且一直在與芯片制造商保持密切的合作，開(kāi)發(fā)和測(cè)試漏洞緩解措施，以保護(hù)我們的客戶。我們正在對(duì)云計(jì)算服務(wù)部署安全緩解措施，并于1月3日發(fā)布了安全更新以保護(hù) Windows 客戶免受針對(duì)安全漏洞的惡意攻擊，這些漏洞影響包括來(lái)自英特爾、AMD 和 ARM 等芯片廠商的硬件。目前，我們暫未收到任何信息表明這些安全漏洞已經(jīng)被用于攻擊我們的用戶。”

影響多大：一個(gè)都跑不掉

安全人員將此次爆出的兩個(gè)新漏洞命名為Meltdown(熔斷)和Spectre(幽靈)，前者允許低權(quán)限、用戶級(jí)別的應(yīng)用程序“越界”訪問(wèn)系統(tǒng)級(jí)的內(nèi)存，后者則可以騙過(guò)安全檢查程序，使應(yīng)用程序訪問(wèn)內(nèi)存的任意位置。

這可不是好事。內(nèi)核的內(nèi)存空間含有各種各樣的秘密信息，比如密碼、登錄密鑰、來(lái)自磁盤的緩存文件等，如果運(yùn)行的惡意軟件能夠嗅探內(nèi)核保護(hù)的敏感數(shù)據(jù)，后果不堪設(shè)想。

實(shí)際上，這個(gè)漏洞是幾個(gè)月之前由谷歌的“Project Zero”安全團(tuán)隊(duì)發(fā)現(xiàn)的，谷歌團(tuán)隊(duì)找到了三種方法讓惡意代碼去控制系統(tǒng)，讓普通的用戶程序讀取出本應(yīng)受保護(hù)的內(nèi)容。雖然許多供應(yīng)商已經(jīng)開(kāi)發(fā)了修補(bǔ)程序來(lái)防止攻擊，但不幸的是，誰(shuí)也不能同時(shí)解決這三個(gè)問(wèn)題。

雖然AMD稱自己的處理器基本免疫，但Spectre漏洞的聯(lián)合發(fā)現(xiàn)者Daniel Gruss(奧地利格拉茨技術(shù)大學(xué))稱，他基于AMD處理器的Spectre代碼攻擊模擬相當(dāng)成功，顯然，AMD也不能那么自信。

因?yàn)槟壳吧形从腥魏我黄鹫鎸?shí)攻擊事件發(fā)生，所有的推演都來(lái)自于本地代碼模擬，有人將該次漏洞事件理解為“看似很嚴(yán)重”。但是，更多的人認(rèn)為，用“致命打擊”來(lái)形容這次漏洞都不夸張，不單只英特爾一家中招，Windows、Linux、macOS、亞馬遜AWS、谷歌安卓系統(tǒng)均受到影響。一位博客名為Python Sweetness的軟件開(kāi)發(fā)人員發(fā)表的一篇文章被競(jìng)相轉(zhuǎn)載，他在文中表示，這個(gè)“缺陷”將會(huì)對(duì)包括亞馬遜、微軟和谷歌在內(nèi)的云計(jì)算廠商帶來(lái)重大影響。

他們均大量使用英特爾CPU、Linux系統(tǒng)，服務(wù)器一旦遭到攻擊，所有的數(shù)據(jù)都將不再安全。

并且，此次芯片級(jí)的漏洞并不容易解決，遠(yuǎn)不是軟件修復(fù)層面可完成，為消除在芯片層面的安全隱患，必須在操作系統(tǒng)上進(jìn)行修復(fù)，或許，重新設(shè)計(jì)Linux內(nèi)核和Windows內(nèi)核已不可避免。【責(zé)任編輯/衛(wèi)安】

(原標(biāo)題：致命打擊!英特爾芯片漏洞危機(jī)，誰(shuí)都不能幸免)

來(lái)源：科技日?qǐng)?bào)

IT時(shí)代網(wǎng)(關(guān)注微信公眾號(hào)ITtime2000，定時(shí)推送，互動(dòng)有福利驚喜)所有原創(chuàng)文章版權(quán)所有，未經(jīng)授權(quán)，轉(zhuǎn)載必究。
創(chuàng)客100創(chuàng)投基金成立于2015年，直通硅谷，專注于TMT領(lǐng)域早期項(xiàng)目投資。LP均來(lái)自政府、互聯(lián)網(wǎng)IT、傳媒知名企業(yè)和個(gè)人。創(chuàng)客100創(chuàng)投基金對(duì)IT、通信、互聯(lián)網(wǎng)、IP等有著自己獨(dú)特眼光和豐富的資源。決策快、投資快是創(chuàng)客100基金最顯著的特點(diǎn)。

相關(guān)文章