研究团队披露两大安全缺陷?几乎所有手机电脑都难逃泄密风险

路透法兰克福/旧金山1月4日 - 网络安全研究人员周三披露了一组安全瑕疵，并称几乎所有搭载英特尔、超微半导体(AMD)、ARM Holdings芯片的现代计算装置都有这些瑕疵，使得黑客能利用这些漏洞窃取敏感讯息。

其中一个是英特尔特有的缺陷，但另一个瑕疵则影响到了笔记本电脑、台式电脑、智能手机、平板设备和网络服务器等。英特尔和ARM坚称这个问题不是设计缺陷，但他们将要求使用者下载修复程式(补丁)并且更新操作系统来进行补救。

Alphabet Inc的Google Project Zero团队与来自数个国家的学术界及业界研究人员，联手共同披露了两个安全瑕疵。

第一个安全缺陷名“Meltdown”，它出现在英特尔芯片。黑客可能利用此瑕疵读取电脑记忆体和窃取密码。第二个瑕疵名为“Spectre”，受此影响的包括英特尔、AMD及ARM芯片，黑客可利用此缺陷让应用程式泄露秘密讯息。

研究人员表示，苹果和微软已经为受Meltdown影响的台式电脑使用者准备了补丁。这两家公司并未立即回复置评要求。

格拉茨技术大学发现Meltdown的研究人员之一Daniel Gruss接受路透采访时称，这“或许是有史以来发现的最严重的CPU漏洞之一”。

Gruss表示，Meltdown是短期内的一个较为严重的问题，但可能通过软件补丁有效解决。Spectre影响范围更广泛、几乎所有电脑设备都可能存在，虽较难被黑客利用，但也很不那么容易发布针对性的补丁，是长期内的一个较大问题。

当日稍早，英特尔在一份报告中承认，其芯片的设计缺陷或许会让黑客得以从电脑设备上窃取数据，但表示该公司正努力寻找不会明显降低电脑运行速度的解决方案。

周二，科技新闻网站The Register报导称，英特尔微处理器存在的这个缺陷要求电脑操作系统必须升级，并称这个解决办法导致芯片运行速度下降。

英特尔表示，问题涉及较广，不单在于英特尔的芯片，该公司正与超微半导体(AMD) 、ARM Holdings及其他公司合作修复这个问题。英特尔也否认修正档(补丁程序)会让使用英特尔芯片的电脑速度变慢。

“英特尔已开始提供软件与韧体(固件)更新，以减轻这些漏洞的问题，”英特尔发表声明称，“与某些报导截然不同的是，对电脑效能的影响取决于处理量，对一般电脑用户来说，影响应该不大，并且会随着时间逐步缓解。”

ARM发言人Phil Hughes证实，正在与英特尔及AMD合作修复这个由研究人员发现的安全漏洞，但表示它并非“结构性缺陷”，已经向公司的合作伙伴发出修正档，其中包括多数智能手机制造商。

“此方法仅适用于某种类型的恶意代码已经在设备上运行，并且最坏情况下可能导致从特许存储器访问小块数据，”Hughes在电邮中表示。

一名知情人士对路透表示，AMD芯片也受到在英特尔芯片中发现的一个安全漏洞的几个变种的影响。The Register稍早的报导暗示AMD芯片并未受波及，似乎提振了该公司股价。

The Register援引未具名程序员报导称，该漏洞影响过去10年间生产的Intel x86处理器芯片所谓的核心内存，允许正常应用的用户辨别芯片上保护区域的布局或内容。

这可能会让黑客利用其它安全漏洞，窃取密码等安全信息，进而入侵个人电脑甚至整个伺服器(服务器)网络。

受该消息影响，英特尔股价收高3.4%，AMD股价涨1%，最终收高5.2%。

The Register称，Linux开源操作系统的程序员正在对受影响的存储区进行修补，微软料将在下周二发布一款Windows补丁。

“关键是，对Linux和Windows的这些更新，会对英特尔产品的性能造成冲击，”The Register写道。

谷歌在一篇博客文章中表示，运行最新安全更新的安卓手机，以及安装了最新安全更新的Nexus和Pixel手机都受到保护。Gmail用户无需采取任何额外的措施来保护自己，但Chromebooks、Chrome网络浏览器和很多Google云服务用户将需要安装更新。

网络安全咨询公司Trail of Bit的首席执行官Dan Guido表示，企业应该迅速更新易受攻击的系统，并表示他预计黑客能够迅速开发出利用那些漏洞发起攻击的代码。“利用这些漏洞的攻击手段将被添加到黑客的标准工具包中。”

目前还不清楚，英特尔是否会因芯片缺陷而面临重大财务责任。

“目前的英特尔问题，如果真的存在，我们认为可能不需要更换CPU。然而，事态变幻莫测，”纽约Rosenblatt Securities的Hans Mosesmann在一份报告中表示，并称此事可能会损害英特尔的声誉。(完)