全球9成手机电脑 有安全漏洞

明报 01-04 23:56+-

97c02744c92898c0d562e2bd9fad720d.jpg

全球第二大晶片制造商英特尔(Intel)、美国超微半导体(AMD)和英国安谋(ARM)生产的中央处理器(CPU)被揭有严重保安漏洞,令黑客可以利用漏洞取得重要资料。虽然目前未有入侵报告,但由于影响范围或遍及过去10年生产、采用有关公司晶片的电脑产品及云端伺服器,各科技公司急作补救。英特尔周三承认事件,但淡化影响。今次漏洞早在去年6月发现,英特尔原定下周才公开事件及发布修补程式,但有网站周二披露有关发现,令英特尔提前公布。消息令英特尔股价一度挫7%。

出事晶片横跨10年

CPU是电脑最重要部分,所有资料运算时都会经过CPU的内核(kernel),因此今次的漏洞较个别程式漏洞严重。专家这次发现一种名为Meltdown和两种合称Spectre的硬件设计漏洞。这两种漏洞分别利用了CPU的"乱序执行"(Out-of-order execution)机能与"分支预测"(Branch Prediction)机能,让恶意程式码可从中偷取资料。

Meltdown是相对易被利用的一个,严重性也大得多。正常来说,每个应用程式都是独立的,不能看到其他程式的资料,但在Intel的处理器(和ARM Cortex-A75)中,因为乱序执行在处理资料时将所有程式混在一起,因此用特别编写的程式码,便可在指定位置,"偷取"其他程式的资料。由于这属硬体设计瑕疵,因此无论哪种作业系统,只要使用1995年后的Intel处理器都会受影响。

Spectre则操作CPU的分支预测机能,欺骗受害的应用程式将指定位置的资料放出来。除了Intel, AMD和ARM处理器都有风险。专家称,这漏洞较难利用,但同时亦较难处理。

修补程式恐减慢速度

英特尔为全球约80%桌上电脑、90%手机电脑提供CPU晶片,再加上AMD和ARM的产品,这次受影响装置的数量难以估计。

今次漏洞早已在去年6月得悉。英特尔和Google本计划下周才公布事件,结果提早至周三承认有保安漏洞。作业系统的开发商已陆续提供修补程式,例如苹果公司在去年12月,已为macOS和旧系统提供更新,微软亦已经发布软件更新。科技网站The Register称,目前的修补方式是将内核资料搬离处理器,代价是电脑效能会下降,可能减速达30%。

CEO去年大举出售股份惹质疑

虽然Google工程师称有关漏洞影响所有处理器,但事件暂时影响英特尔最大。英特尔周三(3日)承认保安漏洞,但淡化影响,称不构成危险,又指其他公司生产的处理器晶片和作业系统,亦可能出现漏洞。英特尔称,不预期今次漏洞会导致巨额赔偿。但有网站忧虑修补程式可能拖慢电脑表现,有传媒称,事件或引发集体诉讼。传媒昨日更翻旧帐,称英特尔行政总裁克尔扎尼奇去年11月,出售约64.4万股英特尔股分,目前仅拥有稍为超出任行政总裁一职所需的法定最低持股量,而英特尔去年6月已知有关漏洞,质疑他是否得悉漏洞才出售股分。

被指同样受到漏洞影响的AMD则发声明,称产品不受漏洞影响,相信出现保安漏洞的机会近乎零。ARM则表示会为使用Linux的用户提供修补方式。(卫报/彭博社/BBC)

3
0