aihot  2018-01-13 09:30:19  网络安全 |   查看评论   
Intel的CPU重大漏洞
      2018年1月3日,TO报导了Intel的CPU重大漏洞  ,并指出大型的云端服务提供商如Google和微软、亚马逊等公司将可能受到影响,且一般民众,无论Windows、Linux或Mac都会受到波及。
 
      当时,另外一家CPU 制造商AMD 表示,旗下的CPU 并没有本次问题中提及的漏洞,因此是安全的。
 
      但这个说法可能要被打上一个问号了。
 
Google 打脸:这个漏洞所有CPU 都可能有(包含AMD)
 
      稍早,针对相关的状况,Google发布了声明  ,表示大众不必担心,目前Google已经完成对旗下云端中心的安全强化,并且避免了用户在这次的风波中受到影响。
 
      但Google 也加码表示,其实在去年的时候,他们的Project Zero 团队(Google 旗下的资安团队,专门研究尚未被公开的电脑潜在危害漏洞)就发现了这个漏洞。
 
      团队表示,他们在发现的时候便通知了芯片厂商,这个问题很可能是由于一个被称作「Speculative Execution(推测性执行)」的功能所引起。这是一项先进的技术,理论上能让芯片从根本上推测,接下来逻辑上可能会收到哪些运算指令,并提早进行处理,以加速CPU 的运作。
 
      然而,这样的技术却也让黑客有机可乘,能轻易地察看在物理上属于同一个记忆体中的其他资讯,例如储存其中的密码和加密密钥,使得资安出现漏洞。
 
      根据团队的报告,这个漏洞会影响到所有的芯片制造商,除了Intel以外,  包含AMD和ARM等制造商也包含在内。
 
      部分图片素材来源:WIKIPEDIA。
 
Intel:我们原本下周就要公布这消息的,没有要隐瞒
 
      Intel的部落格新闻稿也表示  ,这次的漏洞并非只有Intel单家厂商的问题,因此Intel才会需要连合AMD与ARM等厂商共同协调安全修正。
 
      同时,Intel 也表示,之所以Google 发现问题后第一时间通知Intel 时,Intel 与Google 并没有即时向大众公布,是因为所有受影响的厂商们原本是想要于1 月9 日时发布统一的声明,同时发布解决方案(更新),但由于这项消息提早被泄漏,为了避免媒体与大众的不正确猜测,他们才决定提早于现在提出官方说明。
 
      最后,Intel 表示外界传出的修补导致速度缓慢的问题,对于一般使用者而言影响应该不大,而且理论上影响会随着时间逐步减少。
 
      我的推测是,若这次的CPU 漏洞真的来自于Google 所提到的「推测性执行」引起的化,目前针对已经出产的CPU ,修部方式应该就是透过改写作业系统,来关闭这个功能,但由于这个功能是CPU 可以进一步加速的关键,因此关闭这个功能势必造成CPU 的运算速度下降,这也符合了外界传言「当修正完成后CPU 效能会降低」的说法。
 
我用Google ,我需要做什么事情?
 
      既然这次的漏洞严重到各大龙头厂商都不惜成本动员要修补,理论上应该是很严重的问题,前面也提过Google 的云端服务是在受到影响的范围内,那对于一般有使用到Google 服务的使用者,是否需要做什么事情来保护自己呢?
 
      对此,Google针对旗下服务受到的影响  整理了一份表格  ,简单统整如下:
  • 使用Google 服务(Gmail 、云端硬盘、相簿、Youtube… 等)与G Suite 服务者不必进行任何额外动作。
  • 使用Google Chrome 浏览器电脑版者,无论哪种作业系统,若是有安全考量的人,可更新至最新版(版本开头号为63),电脑版使用者可在网址列输入「chrome://flags /#enable-site-per-process」将「Full Site isolation」功能启动。
  • Google Chrome 的Android 使用者可使用「chrome://flags」找到相关启动选项,但须注意可能影响效能表现。
  • Google Chrome 的iOS 使用者,由于Apple 的技术规范,这次的漏洞修补将由Apple 修正。
  • Google 云端平台(Cloud Platform)、Google Home / Chromecast、Google Wifi / OnHub 等服务目前在已知攻击模式中不受影响。
  
 

除特别注明外,本站所有文章均为 人工智能学习网 原创,转载请注明出处来自不只Intel出包,Google资安团队:所有CPU厂商都有漏洞

留言与评论(共有 0 条评论)
   
验证码: