现存设备无一幸免!解密英特尔芯片bug门: 黑客可轻易用漏洞获取用户密码

Lotusun 6年前 (2018-01-04)

新年新气象,可是对于英特尔来说,新年第2天就被曝出有重大安全漏洞,可谓开年遭棒打。

1月3日,英特尔被曝出其处理器存在一个底层设计缺陷,而要解决这一芯片级漏洞问题,必须得重新设计Windows、Linux内核系统。

据了解,此次被曝出的英特尔芯片漏洞,无法通过微代码更新进行弥补,需要与操作系统研发公司一起修补。而此次受到影响的包括Windows操作系统、Linux操作系统,以及苹果64位macOS等操作系统

受到此次安全漏洞的影响,英特尔股价最高下跌了5.5%,创下了2016年10月以来最大的跌幅。

现存设备无一幸免!解密英特尔芯片bug门: 黑客可轻易用漏洞获取用户密码

最直接的危险:可能出现密码大泄露

此次英特尔的安全漏洞,存在于英特尔过去十年生产的处理器中。攻击者可以通过这一漏洞深入到内核访问内存内容,而这个内核的内存空间中包含了用户的各种密码、登陆密钥和磁盘缓存文件等。

黑客在Web浏览器中运行JavaScript代码,或者在公共服务器上运行恶意软件就能轻易地获取这些数据。

危险波及所有设备:智能手机亦受威胁

现存设备无一幸免!解密英特尔芯片bug门: 黑客可轻易用漏洞获取用户密码

如果你以为这次英特尔的安全漏洞只会影响到企业网络和电脑,那么你就错了。

这个漏洞可能会危机计算机以外的设备。现有的微处理器,甚至包括那些运行的智能手机的微处理器都会受到威胁。

所有的微处理器,无论是智能手机还是计算机上的,都基于下面的运行猜测:后续可能要执行的指令,通过“提前排队”处理可能的执行情况,从而更快地收集数据并运行软件。而问题就在于,恶意代码可以通过这种指令的预测性,插队到允许访问安全信息的指令前,进而加载出被封锁的敏感数据,例如密码、缓存文件等。

除了电脑和智能手机,云服务提供商也受到这个漏洞的冲击。所以他们必须减少新客户访问数据中心的速度,同时减少服务器运行的数量,以解决问题。

不完美的解决办法:修复方法将影响用户体验

英特尔应对此次漏洞,需要联合系统研发公司,利用技术对加速处理器进行修复。

但是旨在加速处理器性能的技术,都会对修复速度和电子设备运行速度造成影响。英特尔一位负责人透露,在采用最新的英特尔芯片的设备中,其影响将很小。但是如果设备搭载的是旧的处理器,则修复速度和运行速度会显著变慢。

英国伯明翰大学计算机科学讲师IanBatten表示,对于这个漏洞,无论提出什么解决方案,都会导致使处理器速度变慢。但是有关速度下滑25%到30%的报道,是极端情况,即可能出现的最坏情况。

无法安抚的操作系统研发公司

对于这个安全漏洞,英特尔称其与其他科技公司关于软件新的安全研究、描述分析方法,能够在出现恶意访问目的时,收集电脑设备中的敏感信息,并将其保护起来。同时,用户们不用担心这种描述分析方法对数据进行修改和删除。

现存设备无一幸免!解密英特尔芯片bug门: 黑客可轻易用漏洞获取用户密码

然而即使英特尔不断给各系统公司和用户打安心剂,但是,各大系统公司以防万一,第一时间采取措施应对此次漏洞。

谷歌系统鉴定研究人员表示,谷歌公司已经更新了其系统和产品,并提供应对攻击,保护系统的方法。

微软公司则在昨天发布了Windows 10操作系统和旧版本的安全更新,以保护英特尔和ARM和AMD芯片的用户。其他软件制造商也开始发布补丁来修复服务器,以及受影响的云服务产品。

目前,只有苹果公司没有回应关于芯片漏洞如何影响公司操作系统的问题。

英特尔也正在与AMD、ARM等芯片制造商以及操作系统研发企业合作开发影响产品安全的解决方案,同时提供软件来帮助缓解潜在的漏洞。

英特尔祸不单行的2017年

现存设备无一幸免!解密英特尔芯片bug门: 黑客可轻易用漏洞获取用户密码

而就在刚被辞旧送走的2017年,英特尔已经被两次曝光大的安全漏洞。

2017年5月份,英特尔宣布其主动管理技术(AMT)、标准可管理性(ISM)和小型企业技术(SBT)固件容易遭受双重特权升级问题的攻击。攻击者可以远程控制一台机器。

受影响的设备:Intel6和Inter11.6版本处理器运行的可管理性固件。以及英特尔2008年发布的Nehalem体系结构中的芯片。

2017年11月,Intel被曝出隐藏固件缺陷,其管理引擎(ME)、可信执行引擎(TXE)和服务器平台服务(SPS),允许攻击者通过本地访问来执行任意代码。

受影响设备:使用英特尔的第六代,第七代和第八代核心CPU的设备、一系列至强处理器,以及以及阿波罗实验室Atom E3900系列,Apollo Lake Pentium和Celeron N和J系列芯片。

受影响的企业:戴尔、联想集团、惠普等电脑厂商。

结语

接连不断的芯片漏洞,也让我们更加担忧。在这个互联网时代,这个被科技和资本“异化的时代”,我们把自己的一切都变成了数据和符号。而我们却很难在无法抗拒的异化力量中,保护好自己的数据和符号。

最后,记得关注微信公众号:镁客网(im2maker),更多干货在等你!

镁客网


科技 | 人文 | 行业

微信ID:im2maker
长按识别二维码关注

硬科技产业媒体

关注技术驱动创新

分享到