Meltdown and Spectre：Chip hack 獲得微軟的名稱、緊急補丁和官方聲明

關於過去 20 年來幾乎每台 PC 和顯然手機中的巨大漏洞的故事今天正在迅速展開，兩位安全研究人員現在已經揭示了更多細節。

該漏洞被稱為“Meltdown”和“Spectre”，在“幾乎每個系統”中，顯然自 1995 年以來就存在，並允許黑客從系統物理內存中的任何位置訪問數據。

“攻擊者可能能夠竊取系統上的任何數據，”安全研究員 Daniel Gruss 說。

該團隊證實，不僅英特爾芯片受到影響，一些但並非所有 AMD 芯片也容易受到影響。 然而，AMD 表示：“由於 AMD 架構的差異，我們認為目前 AMD 處理器的風險幾乎為零。”

ARM 補充說，它的一些處理器，包括其 Cortex-A 芯片，都受到了影響。 Cortex-A 內核也用於高通受歡迎的 Snapdragon 系列。

使用 Meltdown hack，Javascript 代碼等非特權應用程序可能會從內存中讀取您的密碼並將其導出到 Internet 上的任何位置。 Mozilla 已確認 基於 Javascript 的攻擊是可能的 並正在修補 Firefox 以緩解這種情況。 英特爾表示，攻擊者將無法修改 PC 或手機的 RAM，從而在一定程度上限制了損害。 然而，Spectre 可以誘騙應用程序洩露信息。

目前，英國國家網絡安全中心表示沒有證據表明存在惡意攻擊，但考慮到漏洞的範圍，我們假設黑客正在爭先恐後地製作攻擊代碼，概念驗證代碼已經在 Twitter 上發布安全研究員埃里克博斯曼。

漏洞的完整細節 現在已經在這裡發布.

微軟已經發布了一個帶外安全補丁來解決這個問題，在一份聲明中說：

我們意識到這個全行業的問題，並一直與芯片製造商密切合作，開發和測試緩解措施以保護我們的客戶。 我們正在為雲服務部署緩解措施，並且還發布了安全更新，以保護 Windows 客戶免受影響英特爾、ARM 和 AMD 支持的硬件芯片的漏洞的影響。 我們尚未收到任何信息表明這些漏洞已被用於攻擊我們的客戶。

據報導，Apple 修補了 macOS 10.13.2 中的漏洞，並且還提供了適用於 Linux 系統的補丁，並且預計將重新設計新的處理器以進一步解決該問題。

Windows 10 補丁將在今天東部時間下午 5 點/太平洋時間下午 2 點自動應用，而舊版本 Windows 的補丁將在補丁星期二推出。 微軟沒有說他們是否會修補 Windows XP。

該補丁可能會降低 PC 的速度，但 Skylake 等較新的處理器受到的影響較小，而且並非所有任務都受到同樣的影響，訪問許多小文件之類的任務比簡單的瀏覽受到的影響更大。

雖然該漏洞最初是作為英特爾問題出售的，但與大量不再接收更新的 Android 手機相比，PC 更容易修復，這表明這最終可能會成為未來很長一段時間內的手機問題。

丹尼爾·格魯斯（Daniel Gruss）指出 Spectre 攻擊的緩解有多麼棘手，他說他們的問題“將困擾我們多年”。

通過 ZDNET, 邊緣