<pre id="co8k0"><cite id="co8k0"></cite></pre><strike id="co8k0"></strike>
  • <acronym id="co8k0"><cite id="co8k0"></cite></acronym>
  • 

    <nav id="co8k0"></nav>
    <input id="co8k0"><em id="co8k0"></em></input>
  • 

  • 

	
		
		
		
    
			
    
				
    
					
    
						
    英特爾現芯片史上最大漏洞 必須重新設計liunx和windows的內核
    

			
    

		劉艷   2018年01月05日 09:52

		
    

 
    





		
    去年底爆出管理引擎存在安全漏洞的風波剛剛平息,北京時間1月2日,英特爾芯片存在嚴重安全漏洞的消息被科技媒體The Register踢爆,英特爾幾乎滲透進所有人生活的現實,引得許多難明真相的業外群眾都跟著激動。
    雖然漏洞的具體情況還待證實,但理論上,這次曝出的漏洞讓所有能訪問虛擬內存的CPU都可能被人惡意訪問,理應受保護的密碼、應用程序密匙等重要信息因此面臨風險。今天早晨,科技日報記者收到的英特爾官方聲明強調,這些攻擊沒有可能損壞、修改或刪除數據。
    據說英特爾和相關科技公司已完全了解了安全漏洞的工作機制,正和包括AMD、ARM和操作系統供應商在內的軟硬件小伙伴一起“開發一種適應于全行業的方法”以“迅速并具有建設性地解決問題”。
    提前發聲明:喊冤+正視聽
    原本英特爾和微軟、谷歌等計劃下周公開漏洞并給出解決方案,但是,英特爾顯然對各種“隱瞞不報、偷著修復”“性能大損失”“Intel x86設計十年大BUG”等指責不能忍,提前發表了聲明。
    首先,針對“該漏洞僅是Intel x86-64處理器的設計BUG或缺陷”,英特爾得冤枉,它在聲明中說:“媒體報道稱這一安全問題是由一處‘缺陷’引起的,而且僅影響英特爾芯片的說法不正確。基于目前分析,許多類型的計算設備(包括許多不同廠商的處理器和操作系統)都容易受到這些漏洞的攻擊。”此話不假,AMD、ARM的服務器系統也遭波及。
    其次,一些報告認為,這個芯片級安全漏洞的修補程序并不完善,即使完成了修復,也會對性能造成嚴重影響。“可能導致5%到30%的性能下降”,成為最廣泛流行的預測。
    英特爾的反駁翻譯成小白能懂的話就是:性能問題與工作負載強相關,不能一概而論。對一般用戶來說,影響并不顯著,即便性能削弱,也會隨著時間的推移得到緩解。
    英特爾發布聲明后,AMD和ARM均表示將積極與合作伙伴防止安全漏洞出現;谷歌Project Zero安全團隊第一時間站出來聲援Intel,稱安卓等相關系統已經得到修復,可以抵御此次風險。
    針對科技日報記者對此次漏洞的詢問,微軟發言人的回復應該可以正視聽:“我們知悉這一有廣泛行業影響的問題,并且一直在與芯片制造商保持密切的合作,開發和測試漏洞緩解措施,以保護我們的客戶。我們正在對云計算服務部署安全緩解措施,并于1月3日發布了安全更新以保護 Windows 客戶免受針對安全漏洞的惡意攻擊,這些漏洞影響包括來自英特爾、AMD 和 ARM 等芯片廠商的硬件。目前,我們暫未收到任何信息表明這些安全漏洞已經被用于攻擊我們的用戶。”
    影響多大:一個都跑不掉
    安全人員將此次爆出的兩個新漏洞命名為Meltdown(熔斷)和Spectre(幽靈),前者允許低權限、用戶級別的應用程序“越界”訪問系統級的內存,后者則可以騙過安全檢查程序,使應用程序訪問內存的任意位置。
    這可不是好事。內核的內存空間含有各種各樣的秘密信息,比如密碼、登錄密鑰、來自磁盤的緩存文件等,如果運行的惡意軟件能夠嗅探內核保護的敏感數據,后果不堪設想。
    實際上,這個漏洞是幾個月之前由谷歌的“Project Zero”安全團隊發現的,谷歌團隊找到了三種方法讓惡意代碼去控制系統,讓普通的用戶程序讀取出本應受保護的內容。雖然許多供應商已經開發了修補程序來防止攻擊,但不幸的是,誰也不能同時解決這三個問題。
    雖然AMD稱自己的處理器基本免疫,但Spectre漏洞的聯合發現者Daniel Gruss(奧地利格拉茨技術大學)稱,他基于AMD處理器的Spectre代碼攻擊模擬相當成功,顯然,AMD也不能那么自信。
    因為目前尚未有任何一起真實攻擊事件發生,所有的推演都來自于本地代碼模擬,有人將該次漏洞事件理解為“看似很嚴重”。但是,更多的人認為,用“致命打擊”來形容這次漏洞都不夸張,不單只英特爾一家中招,Windows、Linux、macOS、亞馬遜AWS、谷歌安卓系統均受到影響。一位博客名為Python Sweetness的軟件開發人員發表的一篇文章被競相轉載,他在文中表示,這個“缺陷”將會對包括亞馬遜、微軟和谷歌在內的云計算廠商帶來重大影響。
    他們均大量使用英特爾CPU、Linux系統,服務器一旦遭到攻擊,所有的數據都將不再安全。
    并且,此次芯片級的漏洞并不容易解決,遠不是軟件修復層面可完成,為消除在芯片層面的安全隱患,必須在操作系統上進行修復,或許,重新設計Linux內核和Windows內核已不可避免。【責任編輯/衛安】
    (原標題:致命打擊!英特爾芯片漏洞危機,誰都不能幸免)
    


    來源:科技日報
    




    IT時代網(關注微信公眾號ITtime2000,定時推送,互動有福利驚喜)所有原創文章版權所有,未經授權,轉載必究。
    創客100創投基金成立于2015年,直通硅谷,專注于TMT領域早期項目投資。LP均來自政府、互聯網IT、傳媒知名企業和個人。創客100創投基金對IT、通信、互聯網、IP等有著自己獨特眼光和豐富的資源。決策快、投資快是創客100基金最顯著的特點。
    
						
    
							
						
    
						
    

    
  相關文章
  
    
  
    

			
    英特爾已獲向華為供貨許可?華為內部人士:2019年底已獲得

			
    

			
    

			
    英特爾:已獲得向華為供貨許可

			
    

			
    

			
    英特爾回應華為合作:持續與美國商務部協作 遵守相關出口法規

			
    

			
    

			
    【周末推薦】英特爾怎么了

			
    

			
    
 
    

    

						 
    
						 
					
    	
				
    
				
    
					
    
						
						
    
						
						
    
						
    
							
    精彩評論