英特爾芯片被曝兩個漏洞：1995年之後系統都受影響

新浪科技訊 北(běi)京時間1月4日上午消息，安全研究人員(yuán)在英特爾芯片中(zhōng)發現兩個關鍵漏洞，利用漏洞，攻擊者可以從App運行内存中(zhōng)竊取數據，比如密碼管理器、浏覽器、電(diàn)子郵件、照片和文檔中(zhōng)的數據。

研究人員(yuán)将兩個漏洞叫作“Meltdown”和“Spectre”，他們還說，1995年之後的每一(yī)個系統幾乎都會受到漏洞的影響，包括計算機和手機。研究人員(yuán)在英特爾芯片上驗證了自己的發現，這些芯片最早可以追溯到2011年，随後研究人員(yuán)公布了概念驗證代碼，讓用戶在機器上測試。

發現Meltdown漏洞的安全研究人員(yuán)丹尼爾·格魯斯（Daniel Gruss）在郵件中(zhōng)表示：“攻擊者也許有能力竊取系統中(zhōng)的任何數據。”研究報告則說：“利用Meltdown漏洞，攻擊者不隻可以進入核心内存，還可以讀取目标機器的所有物(wù)理内存數據。”

Windows、Macs和Linux系統無一(yī)幸免，都受到漏洞的威脅。AMD在聲明中(zhōng)表示：“微處理器公司不同，給三大(dà)平台造成的威脅也不同，三大(dà)平台的反應也會不同，在所有三大(dà)平台上，AMD不易受到影響。因爲架構不同，我(wǒ)們深信，就目前來說AMD處理器的風險幾乎爲零。”ARM回應媒體(tǐ)時表示，一(yī)些處理器受到影響，比如Cortex-A處理器。

在核心内存（操作系統的核心）與低級用戶進程之間有一(yī)個隔離(lí)區，它将二者分(fēn)開(kāi)，但是新發現的兩個漏洞可以瓦解隔離(lí)區。Meltdown賦予攻擊者特權，設備一(yī)旦被感染，攻擊者可以訪問内存中(zhōng)的一(yī)切數據，比如敏感文件和數據，因爲他們可以越過安全邊界，這些安全邊界往往是由硬件把控的。Spectre可以欺騙App，竊取App中(zhōng)的機密信息。

在最糟糕的情況下(xià)，問題計算機上的低權限用戶可以在普通Web頁面上運行JavaScript代碼，然後就能入侵受保護的内存，竊取信息。研究人員(yuán)還說，到目前爲止，還不知(zhī)道是否有攻擊者已經利用漏洞發起攻擊。

有許多雲服務使用英特爾服務器，它們也會受到影響，正因如此，亞馬遜、微軟、谷歌已經行動起來，給雲服務打補丁，按計劃中(zhōng)斷服務，防止攻擊者竊取數據，攻擊者可能會在相同的共享雲服務器上竊取其它數據。