谷歌的Project Zero團(tuán)隊(duì)發(fā)現(xiàn)了英特爾 AMD和ARM芯片的嚴(yán)重安全漏洞

谷歌的安全研究人員說，他們已經(jīng)發(fā)現(xiàn)了影響英特爾和其他芯片制造商制造的計(jì)算機(jī)處理器的嚴(yán)重安全缺陷。

谷歌的Zero項(xiàng)目團(tuán)隊(duì)周三表示，這一缺陷可能允許壞演員從系統(tǒng)內(nèi)存中收集密碼和其他敏感數(shù)據(jù)。

”Zero項(xiàng)目研究人員發(fā)現(xiàn)了三種攻擊方法（變體），它們在不同條件下是有效的。這三種攻擊變體都可以允許具有正常用戶權(quán)限的進(jìn)程執(zhí)行未經(jīng)授權(quán)的內(nèi)存數(shù)據(jù)讀取，其中可能包含密碼、密碼密鑰材料等敏感信息，”該公司在博客文章中表示。

“所有三種攻擊變體都沒有單一的修復(fù)方案；每一種都需要獨(dú)立的保護(hù)。許多供應(yīng)商有補(bǔ)丁可用于這些攻擊中的一個(gè)或多個(gè)。我們將繼續(xù)我們的工作，以減輕這些漏洞，并將更新我們的產(chǎn)品支持頁面和這篇博客文章，因?yàn)槲覀儼l(fā)布進(jìn)一步的修復(fù)。更廣泛地說，我們感謝所有合作伙伴和谷歌工程師的支持和參與，他們在過去幾個(gè)月里不懈努力，使我們的用戶和客戶安全。”

這家科技公司披露了這一漏洞后不久，英特爾表示正在努力修復(fù)它。英特爾表示，普通計(jì)算機(jī)用戶不會(huì)經(jīng)歷明顯的減速，因?yàn)樗枪潭ǖ摹?/p>

英特爾和谷歌都表示，他們計(jì)劃在下周公布問題的解決方案。技術(shù)公司通常會(huì)隱瞞安全問題的細(xì)節(jié)，直到有了解決方案，黑客才會(huì)有一個(gè)利用缺陷的路線圖。但在本案中，在英國科技網(wǎng)站“登記冊”（The Registry）報(bào)道后，英特爾周三被迫披露這一問題，導(dǎo)致英特爾股票下跌。

谷歌說，它還影響到其他處理器以及運(yùn)行它們的設(shè)備和操作系統(tǒng)。

雖然英特爾引用了競爭對手AMD作為公司的合作解決問題，AMD在一份聲明中說，它相信它的芯片是安全的，因?yàn)樗麄兪褂貌煌脑O(shè)計(jì)。

與此同時(shí)，路透社報(bào)道稱，蘋果公司（Apple Inc.）和微軟公司（Micros of t Corp.）已經(jīng)為受Meltdown影響的臺式電腦用戶準(zhǔn)備了補(bǔ)丁。微軟拒絕置評，蘋果也沒有立即回復(fù)置評請求。

格拉茨理工大學(xué)（Graz University of Technology）研究人員之一丹尼爾·格魯斯（Daniel Gruss）在接受路透社（Reuters）采訪時(shí)稱之為“可能是迄今發(fā)現(xiàn)的最嚴(yán)重的CPU缺陷之一”。

格魯斯說，在短期內(nèi)，Meltdown是更嚴(yán)重的問題，但可以果斷地停止使用軟件補(bǔ)丁。他說，Spectre是一個(gè)更廣泛的bug，幾乎適用于所有計(jì)算設(shè)備，對于黑客來說，更難利用，但不太容易修補(bǔ)，從長期來看，這將是一個(gè)更大的問題。

企業(yè)使用的云計(jì)算服務(wù)亞馬遜網(wǎng)絡(luò)服務(wù)（Amazon WebServices）表示，該公司的大部分互聯(lián)網(wǎng)服務(wù)器已經(jīng)進(jìn)行了修補(bǔ)，其余的正在進(jìn)行修補(bǔ)。

這一缺陷影響到在過去十年中制造的英特爾x86處理器芯片上所謂的內(nèi)核內(nèi)存，“登記冊”報(bào)告引用了未命名的程序員，允許正常應(yīng)用程序的用戶識別芯片上受保護(hù)區(qū)域的布局或內(nèi)容。

這可能使黑客利用其他安全漏洞，或者更糟糕的是，暴露密碼等安全信息，從而損害單個(gè)計(jì)算機(jī)甚至整個(gè)服務(wù)器網(wǎng)絡(luò)。

網(wǎng)絡(luò)安全咨詢公司Bits Trail的首席執(zhí)行官丹·吉多（Dan Guido）表示，企業(yè)應(yīng)該迅速采取行動(dòng)，更新脆弱的系統(tǒng)。他說，他預(yù)計(jì)黑客將迅速開發(fā)他們可以用來發(fā)動(dòng)攻擊的代碼，利用這些漏洞。Guido表示：“這些漏洞的漏洞將被添加到黑客的標(biāo)準(zhǔn)工具包中。