英特尔承认芯片设计漏洞 安全风险不容小觑(2)

尚未爆发系统性风险

具体而言，这次的漏洞分成两类，分别命名为Meltdown与Spectre，利用了芯片处理器的“乱序执行”机能与“分支预测”机能，让恶意代码得以从CPU当中偷取本应受保护的资料。

这两个漏洞由谷歌的Jann Horn和第三方研究人员同时发现。与英特尔处理器和Arm相关的漏洞Meltdown是两者当中相对比较容易被利用的一个，因此严重性也要大得多。正常来说，每一个进程都是独立的，不应该看到其他进程的资料。但安全专家发现，因为“乱序执行”在处理资料时将所有进程混在一起，因此用特别编写的代码，是可以指定位置窃取其他进程的资料的。

利用Spectre进行网络攻击的难度较高，它的原理是通过操作处理器的“分支预测”机能，欺骗受害进程将指定位置的资料放出来。但这个漏洞可能令英特尔处理器、AMD和ARM都中招，因此破坏范围更广。

通过这些漏洞，黑客有可能对电脑发起攻击，并窃取存储在个人计算机以及数据中的信息，包括那些存储在云端的信息。除了窃取密码或者缓存文件以外，黑客还有可能利用这些漏洞来削弱其它安全性能。

虽然目前还没有利用这两个漏洞的案例发生，尚未爆发计算机系统性的风险，但是由于芯片漏洞对全球所有的计算机设备都可能造成影响，范围之广仍然引起了人们的高度警觉。几乎所有的PC和数据中心的芯片全是由英特尔和AMD所提供的，而ARM芯片则用于大多数的智能手机。

目前英特尔和其它公司已经在针对这些漏洞寻求最新的解决方案。为了避免个人电脑或者手机受到攻击，用户应该将系统软件更新至最新版本，比如微软的Windows系统和苹果的iOS系统。

微软、亚马逊和谷歌等公司也在为其数据中心安装补丁，并更新了云服务。微软发表声明称：“我们已经关注到了这一行业性的问题，并在与芯片生产商共同研究方案和测试，来保护用户的数据安全。”

亚马逊在一份发给亚马逊云AWS用户的声明中说道：“这一漏洞伴随着英特尔、AMD和Arm的现代芯片处理器架构已经存在了超过20年，应用于所有的服务器、桌面和移动设备。”不过亚马逊表示已经把所有操作系统的补丁都打上了。