黑客推荐笔记本电脑(黑客笔记本电脑排行)
1月4日,国家信息安全漏洞共享平台(CNVD)收录了CPU处理器内核的Meltdown漏洞(CNVD-2018-00303)和Spectre漏洞(CNVD-2018-00302和CNVD-2018-00304)。利用上述漏洞,攻击者可以绕过内存访问的安全隔离机制,使用恶意程序来获取操作系统和其他程序的被保护数据,造成内存敏感信息泄露。CNVD对该漏洞的综合评级为“高危”。
阿里、腾讯、百度、苹果全部中招!英特尔CPU内核安全漏洞风波愈演愈烈……
△ 业内人士将这两大芯片漏洞形象化 图自推特
重大安全漏洞!
攻击电脑“不留痕”
据了解,Meltdowm(熔断)和Spectre(幽灵)漏洞是谷歌Project Zero的Jane Horn(简恩·霍恩)独立发现并命名的。
Meltdown主要影响英特尔芯片。能让黑客绕过由用户运行的应用程序和计算机内存之间的硬件屏障,读取计算机内存数据,并窃取密码。
Spectre则影响包括英特尔、AMD、ARM在内的众多厂商的芯片产品。让黑客能够诱骗其他无错误的应用程序放弃机密信息,这几乎影响到了包括笔记本电脑、台式机、智能手机、平板电脑和互联网服务器在内的所有硬件设备。
谷歌2018年1月3日还通过博客披露,在Meltdowm和Spectre两大安全漏洞被公开之前,该公司已经于2017年6月1日就Spectre漏洞的相关发现向相关芯片厂商发出通知,随后又在7月28日将Meltdowm漏洞的相关发现报告给了相关厂商。
路透社的报道还披露,除谷歌的简恩·霍恩之外,奥地利格拉茨技术大学博士后研究员Daniel Gruss(丹尼尔·格鲁斯)也通过攻入自己计算机CPU内核、窃取其中保密信息的方式,发现了CPU安全漏洞。格鲁斯和他的同事随后也证实了两大CPU安全漏洞的存在。利用两大漏洞,黑客可以从台式机、笔记本、智能手机、云计算服务器中获取密码和照片等。目前,尚不清楚黑客是否有能力执行类似的攻击,因为利用Meltdowm和Spectre发起的攻击,都不会在日志文件中留下记录。
中招的不止一家
在中国,主流云计算厂商已经针对CPU安全漏洞事件做出回应。
阿里云方面称:“为解决处理器芯片的安全问题,阿里云将在北京时间2018年1月12日凌晨1点进行虚拟化底层的升级更新。届时,阿里云将采用热升级的方式,绝大多数客户不会受到影响。但个别客户可能需要手动重启,建议提前准备运营预案以及数据备份。”
腾讯云称:“将于2018年1月10日凌晨01︰00~05︰00通过热升级技术对硬件平台和虚拟化平台进行后端修复,其间客户业务不会受到影响。”
百度云方面称:“将于2018年1月12日零点进行热修复升级,此类修复不影响客户业务,但因为涉及的改动比较大,涉及CPU型号广,可能会存在有虚拟机无法热升级修复的情况,届时如果需要用户参与,会及时与用户协商时间,执行手动重启修复。”
苹果也未能幸免
苹果公司4日承认,在这场堪称计算机体系结构发展史上最大安全漏洞中,自己也未能幸免于难。受影响的苹果产品包括:所有最新版本的Mac电脑、Apple TV、iPhone及iPad(版本:iOS 11.2,macOS 10.13.2 和 tvOS 11.2)。
不过苹果公司补充道,最近一次操作系统的更新可以让用户免于受到Meltdown的攻击,此外Meltdown并不会影响Apple Watch。同时,Mac电脑及iOS设备容易受到通过网页执行码运行的针对Spectre的攻击。苹果称将在“未来几天”为相关设备中网页浏览器Safari发布补丁。
在苹果公司的声明中并未对这两种漏洞造成的影响做具体的描述。美国有线电视新闻网CNN科技频道指出,Meltdown和Spectre缺陷与计算机芯片设计基本架构有关,要完全修正它们非常困难和复杂,新版的攻击代码可能会绕过现有的补丁软件,仍然能窃取存储在芯片内核内存中的机密信息。
对此,苹果建议所有的用户“不要错过最近的更新补丁”,并“不要通过苹果商店以外的途径下载程序”。
而因为Meltdown和Spectre是“抓住”处理器提速状态下的漏洞,有分析人士认为,补丁后的苹果制品会出现运行、处理速度下降30%的可能(特别是对出厂5年、甚至更久的设备)。
但苹果官方坚称修正芯片缺陷的补丁软件对设备性能没有影响。苹果称,它将于未来数天发布一款Safari浏览器更新包,修正Spectre缺陷。补丁软件会导致Safari运行速度降低不到2.5%。
上海市网信办提醒广大互联网用户注意:
从目前了解情况来看,1995年以来大部分量产的处理器均有可能受上述漏洞的影响,且涉及大部分通用操作系统。包括以英特尔为主,ARM、AMD等大部分主流处理器芯片;Windows、Linux、macOS、Android等主流操作系统都受上述漏洞的影响,尤其以英特尔的芯片受上述漏洞影响最为严重。相应的,采用这些芯片和操作系统的公有云服务提供商,私有云、电子政务云等基础设施,广大终端用户,都有可能遭遇利用上述漏洞机理发起的组合攻击。特别需要强调的是,上述漏洞对云计算基础设施的影响是尤为严重的。
来源:东方网综合中国经营报、央视财经、每日经济新闻、观察者网、网信上海等
编辑:小能手
审稿:张海新
