晶片資安漏洞滲透廣泛,專家仍難估衝擊

作者 | 發布日期 2018 年 01 月 06 日 15:19 | 分類 晶片 , 資訊安全 , 零組件 follow us in feedly

研究人員昨天揭露,現代電腦和許多行動裝置搭載的晶片存在 2 大資安漏洞,影響遍及全球數十億台裝置。相關科技公司已急忙採取補救措施,但專家至今仍難以確知衝擊程度。




法新社報導,Google 公司(Google Inc.)的研究人員昨天發布稱為災難(Meltdown)和幽靈(Spectre)2 項網路安全漏洞的細節。兩漏洞因出自晶片本身,且涉及晶片防護電腦上和網路上個人資料的方式,因此和許多其他資安漏洞不同。

研究人員還說明,駭客可能如何利用漏洞取得使用者密碼、加密程式碼和更多資訊。儘管目前為止,尚未傳出任何利用漏洞進行攻擊的行動。不過,資安專家今天仍呼籲各電腦系統用戶緊急安裝軟體更新。

謀智(Mozilla)研究員華格納(Luke Wagner)在部落格發文表示:「我們目前仍在調查這種等級的攻擊全部的影響範圍,並且正和資安研究人員及其他瀏覽器開發商合作,以全面了解威脅和解決方法。」

資安企業邁克菲(McAfee)技術長葛羅布曼(Steve Grobman)指出,新發現的漏洞「衝擊了現代電腦加強(作業系統)保護的根本基礎能力。企業和消費者應該在補救措施發布後,立即更新作業系統和安裝修補軟體。」

初步漏洞報告主要點名電腦晶片業巨擘英特爾公司(Intel Inc.)的產品,英特爾則發布聲明表示,公司和夥伴企業「在展開軟體升級方面已有重大進展」,得以減輕任何威脅的衝擊。

聲明還說:「英特爾預期,已對過去5年推出的處理器產品當中超過 90% 發布軟體更新。此外,許多作業系統開發商、公共雲端服務供應商、裝置製造商和其他機構也表明,已將產品和服務進行軟體更新。」

不過,與資安追蹤機構 SANS 網路風暴中心(SANS Internet Storm Center)合作的資安公司 Fidelis Cybersecurity 研究員班貝涅克(John Bambenek)警告,現在要知道問題範圍可能還太早。

他在部落格發文寫道:「從漏洞遍布程度來看,這個問題很可能恰如其名。」

研究人員在專門討論這 2 個資安漏洞的網站上表示,它們影響個人電腦(PC)、行動裝置和雲端運算,且讓攻擊者可能「獲取其他正在使用中的程式裡記憶體儲存的機密,包括儲存在密碼管理員或瀏覽器裡你的密碼,或是你的私人相片、電子郵件、即時簡訊,甚至是十分重要的業務文件。」

一些專家還指出,在部分情況下,唯一真正的解決方法可能是直接更換晶片。這對電腦產業而言會是個大問題。

班貝涅克說:「Spectre 尤其無法光靠修補軟體完全擋住,似乎需要從硬體解決。好消息是,利用Spectre 漏洞的難度較高。」

(譯者:張正芊)

延伸閱讀:

關鍵字: