不只Intel出包,Google资安团队:所有CPU厂商都有漏洞

2018-1-13 10:41| 发布者: VR先知| 查看: 1180 |原作者: VR先知|来自: 为之网

摘要: 2018年1月3日,TO报导了Intel的CPU重大漏洞 ,并指出大型的云端服务提供商如Google和微软、亚马逊等公司将可能受到影响,

2018年1月3日,TO报导了Intel的CPU重大漏洞 ,并指出大型的云端服务提供商如Google和微软、亚马逊等公司将可能受到影响,且一般民众,无论Windows、Linux或Mac都会受到波及。

当时,另外一家CPU 制造商AMD 表示,旗下的CPU 并没有本次问题中提及的漏洞,因此是安全的。

但这个说法可能要被打上一个问号了。

Google 打脸:这个漏洞所有CPU 都可能有(包含AMD)

稍早,针对相关的状况,Google发布了声明 ,表示大众不必担心,目前Google已经完成对旗下云端中心的安全强化,并且避免了用户在这次的风波中受到影响。

但Google 也加码表示,其实在去年的时候,他们的Project Zero 团队(Google 旗下的资安团队,专门研究尚未被公开的电脑潜在危害漏洞)就发现了这个漏洞。

团队表示,他们在发现的时候便通知了芯片厂商,这个问题很可能是由于一个被称作「Speculative Execution(推测性执行)」的功能所引起。这是一项先进的技术,理论上能让芯片从根本上推测,接下来逻辑上可能会收到哪些运算指令,并提早进行处理,以加速CPU 的运作。

然而,这样的技术却也让黑客有机可乘,能轻易地察看在物理上属于同一个记忆体中的其他资讯,例如储存其中的密码和加密密钥,使得资安出现漏洞。

根据团队的报告,这个漏洞会影响到所有的芯片制造商,除了Intel以外, 包含AMD和ARM等制造商也包含在内。

部分图片素材来源:WIKIPEDIA。

Intel:我们原本下周就要公布这消息的,没有要隐瞒

Intel的部落格新闻稿也表示 ,这次的漏洞并非只有Intel单家厂商的问题,因此Intel才会需要连合AMD与ARM等厂商共同协调安全修正。

同时,Intel 也表示,之所以Google 发现问题后第一时间通知Intel 时,Intel 与Google 并没有即时向大众公布,是因为所有受影响的厂商们原本是想要于1 月9 日时发布统一的声明,同时发布解决方案(更新),但由于这项消息提早被泄漏,为了避免媒体与大众的不正确猜测,他们才决定提早于现在提出官方说明。

最后,Intel 表示外界传出的修补导致速度缓慢的问题,对于一般使用者而言影响应该不大,而且理论上影响会随着时间逐步减少。

我的推测是,若这次的CPU 漏洞真的来自于Google 所提到的「推测性执行」引起的化,目前针对已经出产的CPU ,修部方式应该就是透过改写作业系统,来关闭这个功能,但由于这个功能是CPU 可以进一步加速的关键,因此关闭这个功能势必造成CPU 的运算速度下降,这也符合了外界传言「当修正完成后CPU 效能会降低」的说法。

我用Google ,我需要做什么事情?

既然这次的漏洞严重到各大龙头厂商都不惜成本动员要修补,理论上应该是很严重的问题,前面也提过Google 的云端服务是在受到影响的范围内,那对于一般有使用到Google 服务的使用者,是否需要做什么事情来保护自己呢?

对此,Google针对旗下服务受到的影响 整理了一份表格 ,简单统整如下:
使用Google 服务(Gmail 、云端硬盘、相簿、Youtube… 等)与G Suite 服务者不必进行任何额外动作。
使用Google Chrome 浏览器电脑版者,无论哪种作业系统,若是有安全考量的人,可更新至最新版(版本开头号为63),电脑版使用者可在网址列输入「chrome://flags /#enable-site-per-process」将「Full Site isolation」功能启动。
Google Chrome 的Android 使用者可使用「chrome://flags」找到相关启动选项,但须注意可能影响效能表现。
Google Chrome 的iOS 使用者,由于Apple 的技术规范,这次的漏洞修补将由Apple 修正。
Google 云端平台(Cloud Platform)、Google Home / Chromecast、Google Wifi / OnHub 等服务目前在已知攻击模式中不受影响。
为之网(www.weizhi.cc)温馨提示转载请注明出及本文链接!

  免责声明:本站转载文章仅代表作者个人观点,与为之网立场无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。



路过

雷人

握手

鲜花

鸡蛋

北京网络警察报警平台 经营性网站备案信息 不良信息举报中心 北京互联网违法和不良信息举报中心 中国互联网举报中心
本站内容来自互联网与用户分享,如有侵权请联系我们删除! Copyright © 2012-2024 为之网 ( 沪ICP备11049998号-6 )