苹果更新系统封堵英特尔芯片高危漏洞,称尚无黑客利用漏洞
新版系统修复了Safari浏览器和浏览器排版引擎软件WebKit的Spectre安全漏洞。另外,苹果还同时发布了MacOS系统更新,最新版的MacOS High Sierra 10.13.2同样修复了Spectre安全漏洞。
在此前发布的的iOS 11.2、MacOS 10.13.2以及TVOS 11.2中,苹果已经解决了Meltdown漏洞。此外,苹果宣称,Apple Watch的芯片不受Meltdown(熔断)漏洞的影响。
苹果方面表示,目前尚无黑客利用漏洞的事件发生。
北京时间1月5日,英国《金融时报》消息称,苹果承认,所有的Mac系统和iOS设备都受到近期被揭露的英特尔芯片设计中安全隐患的影响,且已经发布补救措施。
此次被安全人员爆出的两个新漏洞分别被命名为“熔断”(Meltdown)和“幽灵”(Spectre)。前者允许低权限、用户级别的应用程序“越界”访问系统级的内存,后者则可以骗过安全检查程序,使应用程序访问内存的任意位置。
从目前了解情况来看,1995年以来大部分量产的处理器均有可能受上述漏洞的影响,且涉及大部分通用操作系统。虽然是英特尔为主,但ARM、AMD等大部分主流处理器芯片也受到漏洞影响。相应的,采用这些芯片的Windows、Linux、macOS、Android等主流操作系统和电脑、平板电脑、手机、云服务器等终端设备都受上述漏洞的影响。
糟糕的是,英特尔公司本身无法采用固件升级的方式解决这一漏洞,导致微软、苹果等操作系统开发商各自寻求修补方法。
1月4日,中国国家信息安全漏洞共享平台(China National Vulnerability Database)收录了这两个漏洞,并对该漏洞的综合评级为“高危”。
随后各地网络安全部门发出安全提醒。1月5日,上海市网信办向上海市各关键信息基础设施主管和运营单位发出预警通报,要求各单位启动网络安全应急预案,并采取应对措施。
网络安全专家表示,虽然漏洞影响范围广泛,并引起全球关注,但受影响最大的主要是云服务厂商,对于普通用户来说,不必过于恐慌。
该漏洞至少2016年年初就已经被安全研究人员发现,但英特尔直到今年年初才最终承认这一漏洞。《华尔街日报》援引安全专家的话直指,英特尔在事件的披露方面做得非常糟糕。
2016年8月,在美国拉斯维加斯的Black Hat网络安全大会上,两位研究者安德斯·福格(Anders Fogh)和丹尼尔·格拉斯(Daniel Gruss)演示了漏洞的早期迹象。福格在去年7月还就此发表博文,鼓励其他的研究者去展开调查。
与此同时,谷歌内部的安全研究团队Project Zero的雅恩·霍恩(Jann Horn)早已揭开该问题,并通知了英特尔。最终,来自全球各地的三个其他的研究团队就同样的问题联系英特尔,英特尔接着与他们一同交流和撰写论文。
英特尔深陷“芯片门”丑闻之际,公司在美国还面临至少三起来自消费者的集体诉讼。
英特尔公司首席执行官布赖恩·克尔扎尼奇被曝去年6月已被告知芯片漏洞的存在后,于去年11月底出售了手中一半公司股票,套现超过3900万美元,净赚约2500万美元。这不禁令人怀疑克尔扎尼奇减持公司股票的目的。
但面对这一情况,英特尔公司发言人发表声明,强调克尔扎尼奇是按照事先制定的股票出售计划行事,并非临时决定,与芯片漏洞问题无关。