安全漏洞使几乎所有手机 电脑都处于危险之中

法兰克福/旧金山 - 安全研究人员披露了一系列安全漏洞，他们说这些漏洞可能让黑客从几乎所有包含英特尔公司，Advanced Micro Devices公司和ARM控股公司芯片的现代计算设备中窃取敏感信息。

其中一个漏洞特定于英特尔，但另一个漏洞影响笔记本电脑，台式电脑，智能手机，平板电脑和互联网服务器等。英特尔和ARM坚持认为这个问题不是设计缺陷，但它需要用户下载补丁并更新他们的操作系统才能修复。

英特尔首席执行官Brian Krzanich接受CNBC采访时说：“电话，个人电脑，一切都会产生一些影响，但产品会有所不同。”

Alphabet Inc的Google Project Zero的研究人员与来自多个国家的学术和行业研究人员一起发现了两个缺陷。

第一个名为Meltdown，影响英特尔芯片，让黑客绕过用户运行的应用程序和计算机内存之间的硬件障碍，可能让黑客读取计算机的内存并窃取密码。第二个名为Spectre，影响来自英特尔，AMD和ARM的芯片，让黑客可能会欺骗其他无错误的应用程序放弃秘密信息。

研究人员表示，Apple Inc和微软公司已经为受Meltdown影响的台式电脑用户提供了补丁。微软拒绝发表评论，苹果没有立即回复置评请求。

发现Meltdown的格拉茨科技大学的研究人员之一Daniel Gruss在接受路透社采访时称其为“有史以来最糟糕的CPU漏洞之一”。

Gruss表示，Meltdown在短期内是一个更严重的问题，但可以通过软件补丁来决定性地停止。他说，Spectre是适用于几乎所有计算设备的更广泛的漏洞，黑客更难以利用但不太容易打补丁，从长远来看这将是一个更大的问题。

在CNBC上发表讲话时，英特尔的Krzanich表示，谷歌的研究人员告诉英特尔“前一段时间”的缺陷，以及英特尔一直在测试使用其芯片的设备制造商将在下周推出的修正案。在问题公开之前，谷歌在其博客上表示英特尔和其他人计划在1月9日披露这些问题。

这些缺陷首先由技术出版物The Register报道。它还报告称，解决这些问题的更新可能会导致英特尔芯片的运营速度降低5%%至30%%。英特尔否认这些补丁会使基于英特尔芯片的计算机陷入困境。

“英特尔已开始提供软件和固件更新，以缓解这些漏洞，”英特尔在一份声明中表示。“与某些报告相反，任何性能影响都与工作负载有关，对于普通计算机用户来说，这种影响不应该很大，并且会随着时间的推移而减轻。”

ARM发言人Phil Hughes表示已经与包括许多智能手机制造商在内的公司合作伙伴分享了补丁。

“这种方法只有在某种类型的恶意代码已经在设备上运行时才有效，并且最坏的情况是从特权内存中访问小块数据，”Hughes在一封电子邮件中说。

AMD芯片也受到一组安全漏洞的至少一种变体的影响，但它可以通过软件更新进行修补。该公司表示，它认为“目前AMD产品的风险几乎为零。”

谷歌在博客文章中表示，运行最新安全更新的Android手机受到保护，其自身的Nexus和Pixel手机也受到最新安全更新的保护。Gmail用户无需采取任何其他措施来保护自己，但Chromebook，Chrome网络浏览器及其许多Google Cloud服务的用户都需要安装更新。

该缺陷影响了过去十年制造的英特尔x86处理器芯片上的所谓内核内存，The Register报告引用了未命名的程序员，允许普通应用程序的用户识别芯片上保护区的布局或内容。

这可能使黑客可能利用其他安全漏洞，或者更糟糕的是暴露密码等安全信息，从而危及个人计算机甚至整个服务器网络。

网络安全咨询公司Trail of Bits的首席执行官丹吉多表示，企业应该迅速采取行动更新易受攻击的系统，并表示他希望黑客能够快速开发出可用于发起利用漏洞的攻击的代码。“这些漏洞的漏洞将被添加到黑客的标准工具包中，”Guido说。

报告发布后，英特尔股价下跌3.4%%，但在盘后交易中回升1.2%%至44.70美元(59.47新元)，而AMD的股价上涨1%%至11.77美元，令他们获得了许多收益。当天早些时候有报道称其筹码没有受到影响。

目前尚不清楚英特尔是否会因报告的缺陷而面临任何重大财务责任。

纽约Rosenblatt证券公司的Hans Mosesmann在一份报告中表示，“目前的英特尔问题，如果属实，可能不会需要更换CPU。但情况不稳定”，并补充道，这可能会损害公司的声誉。