近日,Google安全團(tuán)隊(duì) Project Zero 公布了多個高危漏洞,稱這些漏洞幾乎影響到了市面上所有的微處理器,由于漏洞與硬件相關(guān),因此不同的操作系統(tǒng)都要從內(nèi)核層面對該漏洞進(jìn)行修復(fù),最高可能會使處理器的性能降低30%。
驚天漏洞是怎么一回事?
為了確保計(jì)算機(jī)的安全,在操作系統(tǒng)中,不同的程序有著不同的安全權(quán)限。其中,內(nèi)核是最基本的程序,為系統(tǒng)提供一些必要的基礎(chǔ)功能。因此,在Linux、Windows等操作系統(tǒng)中,內(nèi)核會常駐系統(tǒng)內(nèi)存,并擁有最高級別的權(quán)限。
最近曝光的多個漏洞,就跟內(nèi)核息息相關(guān)。這些漏洞最早可以追溯到1995年。Project Zero的研究員Jann Horn稱:
惡意程序可以通過這些漏洞來訪問本應(yīng)無法訪問系統(tǒng)內(nèi)存,從而竊取存儲在系統(tǒng)中的敏感信息。測試表明,通過該漏洞可以讓虛擬主機(jī)訪問物理主機(jī)的內(nèi)存,甚至還能訪問其他虛擬主機(jī)的內(nèi)存。
這些高危漏洞被歸為兩類,分別命名為「Meltdown」(熔毀)和「Spectre」(幽靈)。Meltdown能夠打破應(yīng)用程序與操作系統(tǒng)之間的基本隔閡,讓惡意程序能夠訪問系統(tǒng)內(nèi)存;而Spectre則可以通過欺騙其他應(yīng)用程序來訪問系統(tǒng)內(nèi)存的任意位置。Spectre相比Meltdown更復(fù)雜、更難運(yùn)用,但也更不好被解決。
這些漏洞會產(chǎn)生什么影響?
目前,Meltdown只在英特爾處理器中得到驗(yàn)證,而Spectre由于涉及微處理器的一項(xiàng)常用技術(shù),因此波及范圍更廣。Project Zero的測試結(jié)果表明,無論是AMD、ARM還是英特爾的處理器都難以幸免,圍繞這些處理器打造的操作系統(tǒng)和硬件設(shè)備也會受到影響。
換言之,近二十年來,常見的電腦、云服務(wù)器、智能手機(jī)都有可能被利用,無論是Windows還是macOS又或者是Linux系統(tǒng)。
廠商們是怎么回應(yīng)的?
漏洞曝光之后,各大處理器廠商都已先后作出回應(yīng)。
AMD表示,由于其處理器架構(gòu)與英特爾有所不同,因此受到這些漏洞的影響幾乎為零。
不過,英特爾的說法和AMD則有所出入。英特爾認(rèn)為,根據(jù)迄今的分析,許多類型的計(jì)算設(shè)備(有來自許多不同供應(yīng)商的處理器和操作系統(tǒng))都會容易受到類似攻擊。但這些攻擊沒有可能損壞、修改或刪除數(shù)據(jù),也不會對一般用戶的計(jì)算機(jī)性能造成顯著影響。尤其是Skylake之后的產(chǎn)品,受到本次漏洞的影響微乎其微。
同時,英特爾還表示,已經(jīng)與AMD、ARM、蘋果、微軟等技術(shù)公司密切合作,以制定用于全行業(yè)的方法,迅速、有建設(shè)性地解決這一問題。ARM則發(fā)表聲明稱,確實(shí)有部分Cortex-A處理器受到影響,Cortex-A廣泛用于手機(jī)SoC平臺,高通、三星、聯(lián)發(fā)科都采用了相關(guān)的技術(shù)。ARM的公關(guān)總監(jiān)稱,ARM一直在與英特爾和AMD合作,以尋求解決辦法。
普通消費(fèi)者們該怎么辦?
目前,并沒有黑客利用該漏洞進(jìn)行攻擊的案例出現(xiàn),而不少廠商都已這些漏洞提出了解決方案:
? Linux發(fā)布了KAISER補(bǔ)丁
? 蘋果則是在macOS 10.3.2中修復(fù)了該漏洞
? Google號稱最新版本的Android系統(tǒng)不受影響
? 微軟Windows 10也緊急發(fā)布了更新補(bǔ)丁KB4056892,將強(qiáng)制安裝
? 亞馬遜AWS也發(fā)布了解決問題的指導(dǎo)方法
因此,只要將你的電腦或手機(jī)更新到最新系統(tǒng),就可以規(guī)避這一漏洞。雖然對計(jì)算機(jī)性能多少都會受到一些影響,但由于個人計(jì)算機(jī)的負(fù)載并不高,因此也不需要太過擔(dān)心因?yàn)榇蛄搜a(bǔ)丁,就導(dǎo)致電腦「吃不了雞」。
實(shí)際上,Meltdown和Spectre對性能的拖累才是讓人頭疼的問題——不打補(bǔ)丁的話,數(shù)據(jù)安全得不到保障;而打了補(bǔ)丁之后,對性能的拖累又會對云計(jì)算業(yè)務(wù)造成不小的影響。
在更好的解決方案出來之前,云計(jì)算廠商們似乎也是毫無辦法。