权威国防科技信息门户
国防科技大数据智能情报平台
生产力促进中心会员招募
国防科技生产力促进中心
国外国防科技文献资料快报
公告:
国防科技生产力促进中心网上会员入会邀请函   国防科技工业准入渠道、申办程序取证务实培训班通知   DSTI推出国防军工单位电子邮件服务,特别优惠中   DSTIS国防军工信息资源内网服务系统2013年征订开始   下载黄页企业会员登记表 成为国防科技信息网会员  
英特尔微处理器芯片出现重大安全漏洞
2018-01-08

[据物理学组织网站201815日报道] 新年伊始,英特尔就让全世界人民都大跌眼镜。最近媒体纷纷报道了英特尔芯片存在重大底层安全漏洞的消息。这些漏洞被命名为“崩溃”(Meltdown)和幽灵Spectre),搞得大家人心惶惶。据称网络黑客可利用这些漏洞从普通程序入口获取芯片内核的信息和布局,从而盗取私密信息,而且95年以后生产的所有芯片都无一幸免地受到这一漏洞的影响。为此,英特尔公司股价在短短两日之内就下跌了5.2%,蒸发市值高达113亿美元。当科技巨头们正争着抢着修补微处理器的重大安全漏洞时,也许每一名普通用户都在好奇,潜藏在诸如幽灵或“崩溃”这类令人不安的名字背后的究竟是什么,以及如何应对这一最新的IT恐慌。

“崩溃”和“幽灵”是两个芯片底层安全漏洞的名字,它们存在于当今几乎所有的电子设备,如台式计算机、平板电脑、智能手机和游戏机的微处理器芯片内,给全世界几乎每一个IT系统的运行带来了巨大的威胁。

据行业专家卡巴斯基实验室和赛门铁克称,“崩溃”存在于几乎所有的由美国半导体巨头英特尔公司生产的微处理器芯片之中。这一漏洞可以让攻击者冲破用户应用程序和操作系统内核之间的屏障,从正在运行的应用程序内存中窃取用户私密信息。任何人在进行网络攻击时都可以利用这一漏洞劫持优化处理器性能的最初设计过程,从而获取设备内存中所有文件的完整记录。这一潜在威胁十分巨大,因为它涉及到包括英特尔、AMDARM在内的几乎所有的芯片制造商。

微处理器是计算机、智能手机和其它数字设备的核心,靠执行指令和处理程序数据来实现功能。微处理器由许多晶体管组成。晶体管越多,微处理器芯片处理数据的能力就越强。之所以称这些芯片为微处理器,是因为它们的尺寸非常小,可以集成到微小型电子设备中。微处理器的能力一般用比特来衡量,它表征了处理器可处理信息量的多少。

漏洞对我们造成的威胁是巨大的。如,黑客只需要在与用户相同的服务器上租用一个空间,就可以利用“崩溃”获取用户存储在远程服务器或云端的所有信息。诸如密码、照片、私密文件、电子邮件等敏感数据的泄露风险最高。云端存储站的风险特别严重,因为一旦云服务器受到攻击,那么所有存放在那里的数据都会被窃取。这就是为什么微软、亚马逊或OVH公司都在争先恐后地安装更新以修复其服务器上存在的数据保护漏洞。然而,专家指出,要想限制芯片内幽灵崩溃两个缺陷所造成的安全风险,需要非常高的技术水平和技巧。德国每日镜报周五援引IT专家迈克尔施瓦茨的话称,黑客在发动攻击前,必须确定哪些应用程序正在运行,所以利用漏洞发起大规模攻击的难度比较大。

当前,加强防御的唯一方法就是安装由相关芯片制造商或操作系统提供商(微软的Windows系统、苹果的iOS系统以及谷歌的安卓和Linux系统)所提供的安全更新。就目前来看,这些更新还主要是针对崩溃的,对于幽灵现在还很难实现有效的修补和防护。不管怎样,这些更新也只不过是简单的修修补补。最安全的解决方案是尽快升级到最新一代处理器,但这一转变还需要很长的时间才能实现,因为它只在用户购买新设备时才会发生。施瓦兹指出,对于零售用户,完全没必要惊慌失措,像往常一样行事就好,遵循一般的安全建议,不要打开未知附件或陌生链接,就不会产生直接的危险。(工业和信息化部电子第一研究所  李铁成)

相关新闻

DSTIS 国防科技工业信息服务系统
中国核科技信息与经济研究院 中国航天工程咨询中心 中国航空工业发展研究中心
中国船舶工业综合技术经济研究院 中国船舶信息中心 北方科技信息研究所 工业和信息化部电子科学技术情报研究所
DSTI简介 | 大事记 | 网站动态 | 产品介绍 | 广告服务 | 客户服务 | 联系方式 | 共建单位 | 合作媒体  
国防科技信息网 dsti.net © 2006 - 2018 版权所有 京ICP备10013389号