最新文章
最新文章
主页 > H品生活 >不只 Intel 出包,Google 资安团队:不得了,所有 >

不只 Intel 出包,Google 资安团队:不得了,所有


不只 Intel 出包,Google 资安团队:不得了,所有

昨日(3 日),TO 报导了 Intel 的 CPU 重大漏洞 ,并指出大型的云端服务提供商如 Google 和微软、亚马逊等公司将可能受到影响,且一般民众,无论 Windows、Linux 或 Mac 都会受到波及。

当时,另外一家 CPU 製造商 AMD 表示,旗下的 CPU 并没有本次问题中提及的漏洞,因此是安全的。

但这个说法可能要被打上一个问号了。

不只 Intel 出包,Google 资安团队:不得了,所有

Google 打脸:这个漏洞所有 CPU 都可能有(包含 AMD)

稍早,针对相关的状况,Google 发布了声明 ,表示大众不必担心,目前 Google 已经完成对旗下云端中心的安全强化,并且避免了用户在这次的风波中受到影响。

但 Google 也加码表示,其实在去年的时候,他们的 Project Zero 团队(Google 旗下的资安团队,专门研究尚未被公开的电脑潜在危害漏洞)就发现了这个漏洞。

团队表示,他们在发现的时候便通知了晶片厂商,这个问题很可能是由于一个被称作「Speculative Execution(推测性执行)」的功能所引起。这是一项先进的技术,理论上能让晶片从根本上推测,接下来逻辑上可能会收到哪些运算指令,并提早进行处理,以加速 CPU 的运作。

然而,这样的技术却也让骇客有机可乘,能轻易地察看在物理上属于同一个记忆体中的其他资讯,例如储存其中的密码和加密密钥,使得资安出现漏洞。

根据团队的报告,这个漏洞会影响到所有的晶片製造商,除了 Intel 以外, 包含 AMD 和 ARM 等製造商也包含在内。

不只 Intel 出包,Google 资安团队:不得了,所有Intel:我们原本下周就要公布这消息的,没有要隐瞒

Intel 的部落格新闻稿也表示 ,这次的漏洞并非只有 Intel 单家厂商的问题,因此 Intel 才会需要连合 AMD 与 ARM 等厂商共同协调安全修正。

同时,Intel 也表示,之所以 Google 发现问题后第一时间通知 Intel 时,Intel 与 Google 并没有即时向大众公布,是因为所有受影响的厂商们原本是想要于 1 月 9 日时发布统一的声明,同时发布解决方案(更新),但由于这项消息提早被洩漏,为了避免媒体与大众的不正确猜测,他们才决定提早于现在提出官方说明。

最后,Intel 表示外界传出的修补导致速度缓慢的问题,对于一般使用者而言影响应该不大,而且理论上影响会随着时间逐步减少。

我的推测是,若这次的 CPU 漏洞真的来自于 Google 所提到的「推测性执行」引起的化,目前针对已经出产的 CPU ,修部方式应该就是透过改写作业系统,来关闭这个功能,但由于这个功能是 CPU 可以进一步加速的关键,因此关闭这个功能势必造成 CPU 的运算速度下降,这也符合了外界传言「当修正完成后 CPU 效能会降低」的说法。

我用 Google ,我需要做什幺事情?

既然这次的漏洞严重到各大龙头厂商都不惜成本动员要修补,理论上应该是很严重的问题,前面也提过 Google 的云端服务是在受到影响的範围内,那对于一般有使用到 Google 服务的使用者,是否需要做什幺事情来保护自己呢?

对此,Google 针对旗下服务受到的影响 整理了一份表格 ,简单统整如下:

使用 Google 服务(Gmail 、云端硬碟、相簿、Youtube… 等)与 G Suite 服务者不必进行任何额外动作。使用 Google Chrome 浏览器电脑版者,无论哪种作业系统,若是有安全考量的人,可更新至最新版(版本开头号为 63),电脑版使用者可在网址列输入「chrome://flags/#enable-site-per-process」将「Full Site isolation」功能启动。Google Chrome 的 Android 使用者可使用「chrome://flags」找到相关启动选项,但须注意可能影响效能表现。Google Chrome 的 iOS 使用者,由于 Apple 的技术规範,这次的漏洞修补将由 Apple 修正。Google 云端平台(Cloud Platform)、Google Home / Chromecast、Google Wifi / OnHub 等服务目前在已知攻击模式中不受影响。

想知道更多的细节, 可参照这个网站内容(英文)。

参考
《TechCrunch》:Google’s Project Zero team discovered critical CPU flaw last year
Google Security Blog:Today’s CPU vulnerability: what you need to know
WIKIPEDIA:Project Zero
Intel Newsroom:Intel Responds to Security Research Findings
Google 说明:Product Status, Google’s Mitigations Against CPU Speculative Execution Attack Methods

─ ─

到底还有多少这种恐怖的资安漏洞?

Intel 这次的漏洞不得了,微软、苹果都得改写系统才能修
Intel CPU 里「有鬼」:大漏洞让骇客可以截图录音偷资料,想躲也躲不掉
Mac 资安漏洞让你也能当骇客:帐号输入 root,连戳 Enter 就能破解密码!





上一篇: 下一篇:
登封MM生活报|提供全面信息|分享总结经验|网站地图 金沙电子app_sunbeAPP下载菲律宾 葡京网站大全app_上葡京体育app 菲彩国际app下载_万和娱乐官网 伟德国际iosapp下载_JK娱乐安卓下载 极彩平台App_5万块进澳门做换汇生意 1211宝马线上娱乐_星耀娱乐下载链接 手机在线拱猪_菲赢登录728567完善 易利娱乐怎么注册_7星娱乐app 新濠天地视讯电子_玛雅集团娱乐平台代理 博亿堂b8et98app_新濠天地注册送