一組研究員發現兩個嚴重的電腦安全疏漏,會對桌面型電腦、智能手機、平板電腦和雲端服務造成影響,攻擊者可透過漏洞盜取任何電腦處理的資料。
新加坡電腦緊急反應組(SingCERT)昨天(1月4日)在網站上指出,上述安全漏洞分別名爲“Meltdown”和“Spectre”。
“Meltdown”讓攻擊者能越過用戶應用和操作系統之間的安全界線,取得操作系統內存(memory)的信息,包括其他程序內的敏感數據。目前,只有英特爾(Intel)處理器(processor)受影響。
“Spectre”則影響了英特爾、超微(AMD)和ARM處理器,讓攻擊者“誘騙”應用泄露數據。
更新操作固件(firmware)可減緩上述安全漏洞所造成的影響。英特爾和微軟等公司已推出安全補丁(patches)來解決安全漏洞所造成的問題。
新加坡電腦緊急反應組建議用戶關注上述個別公司網站推出的安全補丁,並盡可能把安全補丁更新至最新的版本。
全球電腦和手機近半存在安全漏洞
除了新加坡電腦緊急反應組發布的信息,美國媒體也報道,谷歌研究人員最近發現,全球範圍內數以十億計電腦和手機的處理器中,有近一半存在安全漏洞,這使黑客可輕易獲得敏感數據,而對此予以補救可能導致設備的性能下降。
科技媒體The Register周二報道稱,美國科技公司英特爾的部分處理器有一個“根本性設計缺陷”,導致本來單獨用于保護密碼等重要信息的存儲區,可能會讓一些應用程序獲取權限。
報道指出,亞馬遜、微軟和谷歌是三個受影響最大的雲端計算業者。
如果漏洞被利用,那麽在同一物理空間的虛擬用戶A,就可以任意訪問另一個虛擬用戶B的數據,這包括受保護的密碼、應用密匙等。
據報道,過去10年間,所有使用英特爾芯片的電腦都受影響,涉及從數據中心應用程序到Java支撐的Web浏覽器,操作系統則包括微軟Windows、Linux和蘋果的MacOS X。
福裏斯特研究公司分析師波拉德說:“這是一個大問題,且性質嚴重。它使得那些攻擊者得以繞過我們仰賴了20年的一般操作系統的安全控制手段……對消費者和企業都有很大的影響。”
消息傳出後,英特爾股價一度下跌6%,創下一年多來最大跌幅。
英特爾隨後發表聲明,指有關報道不准確,並表示公司已經開始提供軟件和固件更新,以減輕這些漏洞的影響。但一些安全專家表示,升級應用程序來補救這個缺陷可能降低設備的性能。