英特爾晶元漏洞危機還沒結束,新一代變種出現
今年初,Google 安全團隊 Project Zero 最早發現晶元漏洞Meltdown(熔斷)和 Spectre(幽靈),黑客可以直接讀取核心內存,拿走敏感信息。
漏洞波及英特爾近十年的核心處理器產品,也意味著影響幾乎世界上所有的計算機設備。隨後英特爾發布安全補丁,但問題至今還沒有結束。
周一,英特爾和微軟公開了一個新的漏洞變種,命名「變體 4 號(Variant 4)」。它和 1 月份的漏洞屬於同一類型,只不過通過另外的方法獲取敏感信息。
在一篇博客文章中,英特爾表示已經將變種 4 標記為「中級風險」,危險係數不高,和該漏洞有關的幾個缺陷在此前的安全補丁中已經得到解決。目前他們沒有檢測到黑客利用變種 4 發起攻擊,英特爾也承諾將在「未來數周」發布新的安全補丁。
史無前例的晶元漏洞被曝光後,計算機安全領域一直在關注可能發生的 Meltdown 和 Spectre 變體。5 月初一家德國計算機科學雜誌報道稱,已經有人發現了英特爾晶元的新一代漏洞,當時英特爾拒絕置評。
半年時間過去,這場波及全球上億台計算機的漏洞事件並沒有徹底解決。
兩個漏洞利用了現代 CPU 架構中對程序指令進行預測執行的功能,攻擊者可以通過許可權較低的惡意程序,濫用預測執行功能訪問高許可權的內存,獲得經過內存的所有信息。
簡單來說就是計算機 CPU 的底層邏輯出現了漏洞,並且是硬體上的漏洞。幾乎所有計算機晶元公司,包括英特爾、AMD 的 PC 及數據中心處理器、採用 ARM 架構的移動設備晶元、英偉達的顯卡都要升級固件打上補丁。隨後蘋果、微軟、Linux 核心開發組、亞馬遜也都先後發布系統更新。
不過這也是治標不治本的方法。通過在軟體上打補丁的方式會讓處理器性能降低。根據英特爾的測算,運行在第 6、7、8 代酷睿處理器+固態硬碟的 Windows 10 電腦在 Office 工作效率、數字內容編輯和數據分析等場景下都有不同程度的性能下降。相比打補丁之前,下降幅度在 1-14% 之間。
MIT Technology View 預計事件影響至少有 30 億個電腦晶元。大部分普通用戶的電腦察覺不到這樣微小的性能變化。但對於那些大規模採用英特爾處理器的數據中心和雲服務商、出售計算性能的平台,比如亞馬遜 AWS、微軟 Azure、阿里雲,這個影響就無法忽略了。
題圖來自 Pixabay
我們做了一個壁紙應用,給你的手機加點好奇心。去 App 商店搜好奇怪下載吧。
![](https://pic.pimg.tw/zzuyanan/1488615166-1259157397.png)
![](https://pic.pimg.tw/zzuyanan/1482887990-2595557020.jpg)
※為了迎合健康風潮,三隻松鼠推出保質期 27 天的手工餅乾
※最近特紅那個,「3億人」,你認識不?|好奇心辭典
TAG:好奇心日報 |