新年第一周,基于英特尔处理器(CPU)的体系结构出现安全漏洞,可能扩大到PC、智能手机和云服务,个人信息可能受到黑客攻击,预计将对科技界产生巨大影响。
苹果因为使用Intel处理器,本周也坦承受到处理器漏洞影响,并随即提供软件更新,并保证设备性能不受到影响,此外多家科技公司也纷纷出面响应这次的事件。
苹果坦承iPhone、iPad、Mac全中标
Alphabet旗下的Google Project Zero团队,一份研究报告揭露几乎所有使用Intel、AMD、ARM处理器芯片的装置,都暴露在安全漏洞下。
报告中提到被命名为「Meltdown」跟「Spectre」的两个漏洞,「Meltdown」的设计缺陷仅存在Intel芯片,黑客可能会借此窃取电脑记忆体内的私密数据,包括浏览器上的密码、帐号登入信息、照片、e-mail、个人信息,甚至是商业文件;而「Spectre」的设计缺陷则影响使用Intel、AMD、ARM处理器的智慧手机、平板电脑、笔记型电脑、台式机、网络服务器,黑客有可能会利用这些漏洞侵入应用程式内的重要信息。
唯独Apple Watch不受Meltdown漏洞影响
除了Apple Watch以外,其他产品都因为使用Intel、ARM构架处理器受到影响,「所有的Mac跟iOS装置都受到影响,但目前所知没有任何用户传出灾情。」苹果试图在官方博客中平息用户的担忧与恐惧。在苹果手机、桌机、Apple TV,目前运行最新的iOS 11.2、macOS 10.13.2、tvOS 11.2软件,都已经全面包含针对Meltdown漏洞的修复,苹果目前已经释出所有的更新版本,用户只要更新最新软件,就能确保装置安全。
这起事件爆发后,有些研究人员指出修复软件可能导致装置性能下降30%,苹果表示,目前解决Meltdown漏洞的方法完全不会有效能降低的问题,请大家放心。
苹果表示,所有的Mac跟iOS装置都受此次风波影响,但目前所知没有任何用户传出灾情。
修复将造成Safari浏览器性能降低
至于另一项漏洞Spectre,Apple Watch和苹果的其他产品一样容易受到影响。由于Spectre的特性是侵入应用程序,苹果于声明中表示:「所有Mac系统跟iOS装置需要加载恶意App才会受到影响,我们强烈建议大家到App Store这类安全的来源下载软件。」
恶意代码最有可能经由浏览器入侵,针对Spectre漏洞,苹果将在未来几天针对Safari浏览器释出补丁,帮助用户对抗Spectre,但同时也补充,这项修复有可会导致浏览器运作速度减缓大约2.5%。
受影响的科技公司怎么说?
这次Intel处理器的安全漏洞影响持续扩大,研究人员推测近10年搭载Intel处理器的装置,无论是Windows系统、Linux、MacOS、Android、Chrome OS几乎都无可避免卷入这次的风波,几乎可以说是这10年来所生产的电脑、笔电、手机都暴露在风险之下,对此各家科技大厂也纷纷提出自己的响应,以及目前解决的进度。
Intel
Intel透过最新声明表示,预计在下周会针对过去五年生产的大部分处理器释出软件更新,预计可以修复大约90%的装置,并希望所有用户都能打开系统,让软件执行自动更新,确保所有装置的安全。
这次事件刚爆发时,外界盛传Intel提供的软件更新可能导致系统性能下降30%,在第二次的公开声明中,Intel仍持昨日发布响应声明中的论点,强调电脑性能是跟工作负载强度有关,就算性能降低,情况也会随时间而减缓,且一般用户更新后并不会有很明显的性能降低问题,认为影响并不大。
根据Google先前的研究报告,过去10年Intel的处理器都可能受到影响,二次声明中Intel仅提到针对过去五年的处理器装置进行修复,对于五年以前的Intel处理器并没有多做说明。
Intel预计在下周会针对过去五年生产的大部分处理器释出软件更新,预计可以修复大约90%的装置。
Google针对Android、Chrome、Chrome OS用户做出最新说明,基本上Google都会针对大部分Chrome and Chrome OS用户提供自动软件更新。
智慧型手机Nexus跟Pixel用户,手机系统也会自动下载更新软件,至于其他Android品牌手机就要视各家手机厂商的修复进度而定,而目前使用ARM构架的Android设备没有传出类似灾情。另外,许多网络安全社群也指出,Google将会针对JavaScript引擎新增对抗Spectre的更新,预计在一月底释出的Chrome 64版本可以取得,更新后就能保护网页对笔电或手机的攻击。
微软
目前,Windows用户已经可以下载Windows 10更新版本,目前已可藉由Windows Update下载编号为KB4056892的档案,主要修复Meltdown所造成的威胁,其他版本预计在下周陆续更新。
至于云端服务Azure用户,会透过自动更新获得保护,但微软提醒,部分用户需要重启虚拟机器才能让修复程序作用,且强调不会有任何性能上的影响。
亚马逊
亚马逊表示,旗下云端服务AWS中的弹性云计算EC2已经修复大部分的漏洞,剩馀的部分会在未来几个小时陆续修复完成,亚马逊提醒,用户必须自行操作系统才能让系统拥有最新补丁。
AMD
事件刚爆发时,AMD认为由于处理器的构架不同,加上新的操作系统将推出,自家产品暴露在安全风险下的机率几乎是零,「这起事件以看出整个产业一起紧密合作的程度。」AMD表示。
AMD认为由于处理器的构架不同,加上新的操作系统将推出,自家产品暴露在安全风险下的机率几乎是零。
但随后Intel公布的声明中却拖AMD下水,直接点名AMD与ARM处理器都有发生安全性漏洞,并在声明中称目前正在跟AMD、ARM、OS开发商合作解决问题,AMD则在声明中强调:「最近研究团队确认了三种安全漏洞的变种,这些漏洞对各个芯片公司有不同的威胁程度,但AMD处理器因构架不同并未受到任何影响,风险几乎是零。」
此外AMD也建议用户不要随便点击来路不明的连接、使用高强度的密码、下载正规的软件等。
ARM
ARM的Cortex系列处理器未能逃过一劫,广泛用于手机移动处理器的「Cortex A」构架,有一部分受到Meltdown影响,目前旗下产品的漏洞有三个与Meltdown有关、两个与Spectre有关。
ARM强调,未来所有的ARM Cortex处理器,都将能透过内核补丁进行修复,来抵挡类似的攻击。