Meltdown and Spectre:Chip hack 获得微软的名称、紧急补丁和官方声明
3分钟读
更新
阅读我们的披露页面,了解如何帮助 MSPoweruser 维持编辑团队 查看更多
关于过去 20 年来几乎每台 PC 和显然手机中的巨大漏洞的故事今天正在迅速展开,两位安全研究人员现在已经揭示了更多细节。
该漏洞被称为“Meltdown”和“Spectre”,在“几乎每个系统”中,显然自 1995 年以来就存在,并允许黑客从系统物理内存中的任何位置访问数据。
“攻击者可能能够窃取系统上的任何数据,”安全研究员 Daniel Gruss 说。
该团队证实,不仅英特尔芯片受到一些影响,但并非所有 AMD 芯片也容易受到影响。 然而,AMD 表示:“由于 AMD 架构的差异,我们认为目前 AMD 处理器的风险几乎为零。”
ARM 补充说,它的一些处理器,包括它的 Cortex-A 芯片,都受到了影响。 Cortex-A 内核也用于高通受欢迎的 Snapdragon 系列。
使用 Meltdown hack,Javascript 代码等非特权应用程序可能会从内存中读取您的密码并将其导出到 Internet 上的任何位置。 Mozilla 已确认 基于 Javascript 的攻击是可能的 并正在修补 Firefox 以缓解这种情况。 英特尔表示,攻击者将无法修改 PC 或手机的 RAM,从而在一定程度上限制了损害。 然而,Spectre 可以诱骗应用程序泄露信息。
目前,英国国家网络安全中心表示没有证据表明存在恶意攻击,但考虑到漏洞的范围,我们假设黑客正在争先恐后地制作攻击代码,概念验证代码已经在 Twitter 上发布安全研究员埃里克博斯曼。
漏洞的完整细节 现在已经在这里发布.
微软已经发布了一个带外安全补丁来解决这个问题,在一份声明中说:
我们意识到这个全行业的问题,并一直与芯片制造商密切合作,开发和测试缓解措施以保护我们的客户。 我们正在为云服务部署缓解措施,并且还发布了安全更新,以保护 Windows 客户免受影响英特尔、ARM 和 AMD 支持的硬件芯片的漏洞的影响。 我们尚未收到任何信息表明这些漏洞已被用于攻击我们的客户。
据报道,Apple 修补了 macOS 10.13.2 中的漏洞,并且还提供了适用于 Linux 系统的补丁,并且预计将重新设计新的处理器以进一步解决该问题。
Windows 10 补丁将在今天东部时间下午 5 点/太平洋时间下午 2 点自动应用,而旧版本 Windows 的补丁将在补丁星期二推出。 微软没有说他们是否会修补 Windows XP。
该补丁可能会降低 PC 的速度,但 Skylake 等较新的处理器受到的影响较小,而且并非所有任务都受到同样的影响,访问许多小文件之类的任务比简单的浏览受到的影响更大。
虽然该漏洞最初是作为英特尔问题出售的,但与大量不再接收更新的 Android 手机相比,PC 更容易修复,这表明这最终可能会成为未来很长一段时间内的手机问题。
丹尼尔·格鲁斯(Daniel Gruss)指出 Spectre 攻击的缓解有多么棘手,他说他们的问题“将困扰我们多年”。