研究人員今天揭露兩大資安漏洞,這兩大漏洞恐讓駭客有機可趁,竊取機密資訊,內建英特爾、超微和安謀等業者晶片的現代運算裝置幾乎無一倖免。
其中一項漏洞是英特爾(Intel Corp)獨有,但其他安全漏洞影響筆記型、桌上型電腦、手機和平板電腦以及網路伺服器。英特爾和安謀(ARM Holdings)堅稱這項資安問題不是設計瑕疵,但將要求用戶下載修補軟體並更新作業系統,以修補漏洞。
英特爾執行長科再奇(Brian Krzanich)接受CNBC專訪時說:「手機、個人電腦,全都將受到部分衝擊,但各產品間衝擊不一。」
這兩大資安漏洞由Alphabet Inc旗下Google Project Zero和來自多國的學界及業界研究人員聯合發現。
第一項漏洞稱為「災難」(Meltdown),這項漏洞影響英特爾晶片,讓駭客得以繞過用戶應用軟體和電腦記憶體間的硬體障礙,可能會讓駭客讀取電腦記憶體,盜走帳號和密碼。第二項漏洞稱為「幽靈」(Spectre),影響英特爾、超微和安謀等公司晶片,讓駭客得以騙過沒問題的應用程式,讀取機密資訊。
研究人員表示,蘋果(Apple)和微軟(Microsoft)受Meltdown漏洞影響的桌上型電腦修補程式已經準備妥當。微軟表示,旗下Azure雲端商業服務多數已修復並受保護,正推出一項視窗作業系統安全更新。
微軟發表聲明說:「我們沒有接獲任何利用這些漏洞攻擊我們客戶的通報。」蘋果未回覆路透社置評要求,目前還不清楚iPhone和iPad的作業系統iOS是否也面臨風險。
科再奇告訴CNBC,谷歌研究人員「前陣子」告訴英特爾這項安全漏洞,英特爾已對修補程式進行測試,將在下週推出。
安謀發言人休斯(Phil Hughes)表示,修補程式已提供合作夥伴,其中包括不少智慧手機製造商。
超微(Advanced Micro Devices)晶片也至少受到一項安全漏洞影響。超微表示,他們相信目前超微產品的風險近乎零。
谷歌在部落格貼文表示,已安裝安全更新軟體的Android手機受到保護,谷歌Nexus和Pixel手機也一樣。Gmail用戶無需採取額外保護措施,但已安裝本身作業系統的Google雲端服務用戶、Chromebook筆電和Chrome瀏覽器使用者必須安裝更新。
英國科技新聞網站The Register引述未具名程式人員披露,這項漏洞影響英特爾過去10年生產的X86處理器晶片中的核心記憶體,讓正常程式使用者可以分辨出晶片上受保護區域的設計和內容。恐讓駭客有機可趁,利用其他安全漏洞,或者暴露密碼等機密資訊,造成個人電腦甚至整個伺服器網路遭入侵。
網路安全顧問公司Trail of Bits執行長基多(Dan Guido)說,企業應該趕快更新易受影響的作業系統,還說駭客可能很快就發展出利用這項漏洞攻擊的程式。
基多說:「利用這些漏洞將被納入駭客的標準工具組。」
