安全漏洞使幾乎所有手機 電腦都處于危險之中

法蘭克福/舊金山 - 安全研究人員披露了一系列安全漏洞，他們說這些漏洞可能讓黑客從幾乎所有包含英特爾公司，Advanced Micro Devices公司和ARM控股公司芯片的現代計算設備中竊取敏感信息。

其中一個漏洞特定于英特爾，但另一個漏洞影響筆記本電腦，臺式電腦，智能手機，平板電腦和互聯網服務器等。英特爾和ARM堅持認為這個問題不是設計缺陷，但它需要用戶下載補丁并更新他們的操作系統才能修復。

英特爾首席執行官Brian Krzanich接受CNBC采訪時說：“電話，個人電腦，一切都會產生一些影響，但產品會有所不同。”

Alphabet Inc的Google Project Zero的研究人員與來自多個國家的學術和行業研究人員一起發現了兩個缺陷。

第一個名為Meltdown，影響英特爾芯片，讓黑客繞過用戶運行的應用程序和計算機內存之間的硬件障礙，可能讓黑客讀取計算機的內存并竊取密碼。第二個名為Spectre，影響來自英特爾，AMD和ARM的芯片，讓黑客可能會欺騙其他無錯誤的應用程序放棄秘密信息。

研究人員表示，Apple Inc和微軟公司已經為受Meltdown影響的臺式電腦用戶提供了補丁。微軟拒絕發表評論，蘋果沒有立即回復置評請求。

發現Meltdown的格拉茨科技大學的研究人員之一Daniel Gruss在接受路透社采訪時稱其為“有史以來最糟糕的CPU漏洞之一”。

Gruss表示，Meltdown在短期內是一個更嚴重的問題，但可以通過軟件補丁來決定性地停止。他說，Spectre是適用于幾乎所有計算設備的更廣泛的漏洞，黑客更難以利用但不太容易打補丁，從長遠來看這將是一個更大的問題。

在CNBC上發表講話時，英特爾的Krzanich表示，谷歌的研究人員告訴英特爾“前一段時間”的缺陷，以及英特爾一直在測試使用其芯片的設備制造商將在下周推出的修正案。在問題公開之前，谷歌在其博客上表示英特爾和其他人計劃在1月9日披露這些問題。

這些缺陷首先由技術出版物The Register報道。它還報告稱，解決這些問題的更新可能會導致英特爾芯片的運營速度降低5%%至30%%。英特爾否認這些補丁會使基于英特爾芯片的計算機陷入困境。

“英特爾已開始提供軟件和固件更新，以緩解這些漏洞，”英特爾在一份聲明中表示。“與某些報告相反，任何性能影響都與工作負載有關，對于普通計算機用戶來說，這種影響不應該很大，并且會隨著時間的推移而減輕。”

ARM發言人Phil Hughes表示已經與包括許多智能手機制造商在內的公司合作伙伴分享了補丁。

“這種方法只有在某種類型的惡意代碼已經在設備上運行時才有效，并且最壞的情況是從特權內存中訪問小塊數據，”Hughes在一封電子郵件中說。

AMD芯片也受到一組安全漏洞的至少一種變體的影響，但它可以通過軟件更新進行修補。該公司表示，它認為“目前AMD產品的風險幾乎為零。”

谷歌在博客文章中表示，運行最新安全更新的Android手機受到保護，其自身的Nexus和Pixel手機也受到最新安全更新的保護。Gmail用戶無需采取任何其他措施來保護自己，但Chromebook，Chrome網絡瀏覽器及其許多Google Cloud服務的用戶都需要安裝更新。

該缺陷影響了過去十年制造的英特爾x86處理器芯片上的所謂內核內存，The Register報告引用了未命名的程序員，允許普通應用程序的用戶識別芯片上保護區的布局或內容。

這可能使黑客可能利用其他安全漏洞，或者更糟糕的是暴露密碼等安全信息，從而危及個人計算機甚至整個服務器網絡。

網絡安全咨詢公司Trail of Bits的首席執行官丹吉多表示，企業應該迅速采取行動更新易受攻擊的系統，并表示他希望黑客能夠快速開發出可用于發起利用漏洞的攻擊的代碼。“這些漏洞的漏洞將被添加到黑客的標準工具包中，”Guido說。

報告發布后，英特爾股價下跌3.4%%，但在盤后交易中回升1.2%%至44.70美元(59.47新元)，而AMD的股價上漲1%%至11.77美元，令他們獲得了許多收益。當天早些時候有報道稱其籌碼沒有受到影響。

目前尚不清楚英特爾是否會因報告的缺陷而面臨任何重大財務責任。

紐約Rosenblatt證券公司的Hans Mosesmann在一份報告中表示，“目前的英特爾問題，如果屬實，可能不會需要更換CPU。但情況不穩定”，并補充道，這可能會損害公司的聲譽。