重大灾难曝光!全球电脑几乎无一幸免

纽约时报 01-06 10:22+-

u=1459363897,2793613616&fm=20.jpg

  计算机安全专家在全世界几乎所有电脑都装有的微处理器中发现了两个重大安全漏洞。

  这两个被命名为“Meltdown”(崩溃)和“Spectre”(幽灵)的漏洞允许黑客窃取计算机的全部内存内容,包括移动设备、个人计算机,以及在所谓的云计算机网络中运行的服务器。

  据研究人员称,Spectre没有简单的解决方案,或许还需要重新设计处理器;至于Meltdown,解决这个问题所需的软件补丁可能会使计算机运行速度下降30%——对于已经习惯从最喜欢的在线服务器上快速下载的人来说,这是一个尴尬的境地。

  “各个漏洞的具体情况不同,解决方法也会不一样,”保罗·科克(Paul Kocher)说。科克曾是一个研究团队的重要成员,漏洞就是由这个团队发现的,该团队的研究人员都来自于谷歌、Rambus这样的大型科技公司或学术界。

  Meltdown是亚马逊、谷歌、微软等公司提供的云计算服务的特有问题。周三晚上,谷歌和微软表示他们已经升级了系统以解决漏洞。

  亚马逊告知使用亚马逊网络服务(Amazon Web Services,简称AWS)云服务的用户,称该漏洞“在现代处理器架构中已经存在了20多年”,并表示他们已经对AWS进行了全面防护,用户也必须升级自己在这些云服务上运行的软件。

  要利用Meltdown,黑客可以像其他商业客户一样租用云服务空间。一旦他们登入服务器,漏洞便可以让他们获取其他用户的信息,比如密码。

  这对云计算系统的运行方式来说是一个重大威胁。云服务往往会在多个用户之间共享计算机——而比如单个服务器只服务于单一客户的情况并不常见。尽管有旨在分离用户数据的安全工具和协议,但近期发现的芯片漏洞会使恶意使用者得以绕开这些保护措施。

  用户使用的个人计算机也容易受到攻击,但黑客得首先想办法在个人计算机上运行软件,才有途径获取计算机的其他信息。这有多种实现方式:攻击者可以诱骗用户从邮件、应用商店,或通过访问受病毒感染的网站来下载软件。

  据研究人员称,Meltdown漏洞差不多影响了英特尔(Intel)生产的所有微处理器,而这些作为互联网和私人业务运营基础的计算机服务器,有90%都在使用英特尔制造的芯片。

  Windows操作系统的生产商微软(Microsoft)的用户想解决这个问题需要安装公司提供的升级;Linux则运行着全球30%的计算机服务器,监管着Linux开源操作系统的世界程序员社区已为该系统发布了补丁;苹果公司也部分修复了这个问题,并预计会另外再发布一个更新。

  已对新的Linux代码进行了测试的独立软件开发人员安德烈斯·弗洛因德(Andres Freund)说,软件补丁可能会使受影响的计算机性能降低20%到30%。发现这两个漏洞的研究人员表达了类似的担忧。

  这可能会成为所有通过云系统运行网站和其他软件的企业面临的一个大问题。

  没有证据表明这个漏洞已被黑客利用,至少目前还没有。但一旦一个安全问题被公开,计算机用户如果不安装解决这个问题的补丁,就会面临很大的风险。去年世界各地的计算机遭受的那场所谓的勒索软件攻击,就是利用了没有收到补丁的计算机,当时那个补丁针对的是Windows软件中的一个漏洞。

  另一个漏洞Spectre会影响目前正在使用的大部分处理器,但研究人员认为,利用这个漏洞的难度更大。还没有已知的解决办法,并且不清楚英特尔等芯片制造商会采取什么措施解决这个问题。

  尚不确定这些芯片问题的曝光会对英特尔的业务产生什么影响。周三当天,这家硅谷巨头对这个问题轻描淡写。

  “英特尔和其他科技公司已知悉新的安全研究。相关研究介绍了一些如果用于恶意目的,便有可能从正常运行的计算设备不当收集敏感数据的软件分析方法,”该公司在一份声明中说。“英特尔认为,这些漏洞不具备破坏、修改或删除数据的潜力。”

  解决Spectre的问题远不像发布一个软件补丁这么简单。

  Meltdown漏洞是英特尔特有的,但Spectre是很多处理器制造商用了数十年的设计中出现的漏洞。它几乎会影响市场上的所有微处理器,包括设计与英特尔相同的AMD芯片,以及很多基于英国的ARM的设计制造的芯片。

  Spectre这个问题出现在设计处理器的基本方式上,它的威胁“会伴随我们几十年,”Rambus的密码学研究部门负责人兼首席科学家科克说。

  “Meltdown是一场紧急危机,但Spectre 影响的是几乎所高速微处理器,”科克说。他表示,设计新芯片时对速度的强调导致它们容易出现安全问题。

  “我们真的搞砸了,”科克说。“整个行业一直希望越快越好,同时做到安全。Spectre表明,鱼和熊掌不可兼得。”

  可能要到新一代芯片进入市场,才能找到解决Spectre的办法。

  “这是一个会随着硬件的生命周期不断恶化的问题。不是一天两天就能改变的,”科克说。“要花一段时间。”


6
  • 最新评论
  • samue80

    又是漏洞,2000年世界末日,玛雅人预言。不要妖言惑众了。纽约时报可以以自己的名义做一个有良知的媒体?

  • TRIAL

    这叫漏洞? 这帮狗屁家伙是惟恐天下不乱,积极挖洞。不但拼命挖,还要向全世界提示如何挖洞,将洞挖深。FBI应该先把丫的抓起来。

  • Sherwood_Chang

    这到底是在公布新发现的安全漏洞,还是相机披露预留的安全后门,还很难说。若问题属实,其影响将远大于当年的YEAR2000问题,背后隐藏着巨大的商业利益与殊死的经济博弈。毋庸置疑,普遍存在的Intel电脑硬件安全问题将有利于云存储、云软件、与智能平板的进一步推广。 暴露出来的虽是硬件问题,除非更换硬件,也只能通过软件途径来解决问题。云处理之外,可在电脑数据存储与通讯方式两方面设法解决问题。如利用数据库技术,把原来直接存储硬盘上的各种数据都存入数据库。若不能提供正确的密钥与SQL指令,来访者什么数据也看不到、取不出、输不入、删不掉。 另外,现有的互联网通讯方式也该改进了,数据与程序混杂的通讯方式应该废止,取而代之以数据交换、程序交换分别进行。除非访问者与被访问者可以互相确证身份、得到对方的许可,普通互联网浏览,只允许数据、数据格式、显示方法等信息交换,不允许夹杂任何程序。如操作系统打补丁、浏览器升级等,凡涉及软件升级,都必须首先通过公共安全服务器身份认证的过程,方可进行。

  • AYA_

    终于明白: Spectre表明,鱼和熊掌不可兼得。

4