谷歌的Project Zero團隊發(fā)現(xiàn)了英特爾 AMD和ARM芯片的嚴(yán)重安全漏洞

谷歌的安全研究人員說，他們已經(jīng)發(fā)現(xiàn)了影響英特爾和其他芯片制造商制造的計算機處理器的嚴(yán)重安全缺陷。

谷歌的Zero項目團隊周三表示，這一缺陷可能允許壞演員從系統(tǒng)內(nèi)存中收集密碼和其他敏感數(shù)據(jù)。

”Zero項目研究人員發(fā)現(xiàn)了三種攻擊方法（變體），它們在不同條件下是有效的。這三種攻擊變體都可以允許具有正常用戶權(quán)限的進程執(zhí)行未經(jīng)授權(quán)的內(nèi)存數(shù)據(jù)讀取，其中可能包含密碼、密碼密鑰材料等敏感信息，”該公司在博客文章中表示。

“所有三種攻擊變體都沒有單一的修復(fù)方案；每一種都需要獨立的保護。許多供應(yīng)商有補丁可用于這些攻擊中的一個或多個。我們將繼續(xù)我們的工作，以減輕這些漏洞，并將更新我們的產(chǎn)品支持頁面和這篇博客文章，因為我們發(fā)布進一步的修復(fù)。更廣泛地說，我們感謝所有合作伙伴和谷歌工程師的支持和參與，他們在過去幾個月里不懈努力，使我們的用戶和客戶安全?！?/p>

這家科技公司披露了這一漏洞后不久，英特爾表示正在努力修復(fù)它。英特爾表示，普通計算機用戶不會經(jīng)歷明顯的減速，因為它是固定的。

英特爾和谷歌都表示，他們計劃在下周公布問題的解決方案。技術(shù)公司通常會隱瞞安全問題的細(xì)節(jié)，直到有了解決方案，黑客才會有一個利用缺陷的路線圖。但在本案中，在英國科技網(wǎng)站“登記冊”（The Registry）報道后，英特爾周三被迫披露這一問題，導(dǎo)致英特爾股票下跌。

谷歌說，它還影響到其他處理器以及運行它們的設(shè)備和操作系統(tǒng)。

雖然英特爾引用了競爭對手AMD作為公司的合作解決問題，AMD在一份聲明中說，它相信它的芯片是安全的，因為他們使用不同的設(shè)計。

與此同時，路透社報道稱，蘋果公司（Apple Inc.）和微軟公司（Micros of t Corp.）已經(jīng)為受Meltdown影響的臺式電腦用戶準(zhǔn)備了補丁。微軟拒絕置評，蘋果也沒有立即回復(fù)置評請求。

格拉茨理工大學(xué)（Graz University of Technology）研究人員之一丹尼爾·格魯斯（Daniel Gruss）在接受路透社（Reuters）采訪時稱之為“可能是迄今發(fā)現(xiàn)的最嚴(yán)重的CPU缺陷之一”。

格魯斯說，在短期內(nèi)，Meltdown是更嚴(yán)重的問題，但可以果斷地停止使用軟件補丁。他說，Spectre是一個更廣泛的bug，幾乎適用于所有計算設(shè)備，對于黑客來說，更難利用，但不太容易修補，從長期來看，這將是一個更大的問題。

企業(yè)使用的云計算服務(wù)亞馬遜網(wǎng)絡(luò)服務(wù)（Amazon WebServices）表示，該公司的大部分互聯(lián)網(wǎng)服務(wù)器已經(jīng)進行了修補，其余的正在進行修補。

這一缺陷影響到在過去十年中制造的英特爾x86處理器芯片上所謂的內(nèi)核內(nèi)存，“登記冊”報告引用了未命名的程序員，允許正常應(yīng)用程序的用戶識別芯片上受保護區(qū)域的布局或內(nèi)容。

這可能使黑客利用其他安全漏洞，或者更糟糕的是，暴露密碼等安全信息，從而損害單個計算機甚至整個服務(wù)器網(wǎng)絡(luò)。

網(wǎng)絡(luò)安全咨詢公司Bits Trail的首席執(zhí)行官丹·吉多（Dan Guido）表示，企業(yè)應(yīng)該迅速采取行動，更新脆弱的系統(tǒng)。他說，他預(yù)計黑客將迅速開發(fā)他們可以用來發(fā)動攻擊的代碼，利用這些漏洞。Guido表示：“這些漏洞的漏洞將被添加到黑客的標(biāo)準(zhǔn)工具包中。