每日最新頭條.有趣資訊

安全研究員公開披露英特爾芯片安全漏洞仍然存在

騰訊科技訊 據外媒報導,安全研究人員表示,影響所有Mac電腦以及Windows和Linux電腦的英特爾芯片安全漏洞仍然存在——儘管該芯片製造商聲稱已經修複了這些漏洞。

類似的安全漏洞也曾出現在ARM處理器中,後來被修複。現階段,沒有跡象表明ARM芯片中仍然存在這些問題。

英特爾CPU的“根本設計缺陷”去年被曝光,其中的安全漏洞被稱為“幽靈”(Spectre)和“熔毀”(Meltdown)。它們允許攻擊者查看內核記憶體中的數據,這些數據包括從緩存文檔到密碼等的任何內容。

蘋果和微軟發布了基於英特爾修複程序的安全補丁。但安全研究人員表示,他們發現了該芯片製造商花了六個月時間修複的安全漏洞的其他變體,而且還有更多未被修複的漏洞仍然存在。

由於擔心英特爾誤導人們,這些安全研究人員現在決定公開他們發現的漏洞。

去年5月,英特爾針對安全研究人員在該公司計算機處理器中發現的安全漏洞發布了一系列安全補丁,並暗示所有問題都已解決。

但據荷蘭阿姆斯特丹自由大學的研究人員稱,這並不完全是真的。2018年9月,荷蘭研究人員發現了漏洞,並首次向這家科技巨頭報告了這些漏洞。但是,英特爾用於修複處理器漏洞的安全補丁僅解決了這些研究人員發現的部分問題。

來自英特爾的公開信息是“一切漏洞都已被修複。”荷蘭阿姆斯特丹自由大學的計算機科學教授、報告漏洞的研究人員之一克里斯蒂亞諾-朱弗裡達(Cristiano Giuffrida)說,“我們知道這是不準確的。”

負責任的安全研究人員首先會私下向相關公司披露他們的發現。在通常情況下,這些公司有六個月的時間來解決相關漏洞,之後這些安全研究人員才會公開他們的發現。這樣做的效果通常很不錯,為硬體和軟體供應商提供了創建安全補丁的時間,公眾也被告知需要更新。

但荷蘭研究人員表示,英特爾一直在濫用這個過程。他們說,周二發布的新的安全補丁仍然無法修複他們在5月份提供給英特爾的另一個漏洞。

英特爾承認,五月份的安全補丁並沒有修複安全研究人員提交的所有漏洞。周二的安全補丁也沒有做到這一點。但該公司發言人利-羅森瓦爾德(Leigh Rosenwald)表示,它們“極大地降低了”黑客攻擊的風險。

安全研究人員表示,該團隊已經給英特爾爭取了盡可能長的時間,現在他們認定,公開披露他們發現的漏洞是必要的。這樣做首先是為了讓英特爾感到羞愧,促使其采取更積極的行動,其次是因為相關漏洞的細節已經開始洩露,這可能會讓不法分子有機可乘。

荷蘭安全研究人員對他們發現的問題保持了八個月的沉默。在此期間,英特爾開發了安全補丁,並在5月份發布。然後,在英特爾意識到其安全補丁並不能解決所有問題後,它要求安全研究人員再保持沉默六個月,而且還要求安全研究人員修改他們計劃在安全會議上提交的一篇論文,以避免提及任何未被修複的漏洞。研究人員表示,儘管他們很不情願,但最終還是同意了,因為他們也不希望這些漏洞在沒有解決方案的情況下被公眾所知。

“我們不得不修改論文,遮人耳目,讓人們看不到其芯片有多麽容易受到攻擊。”同為荷蘭阿姆斯特丹自由大學計算機科學教授的卡維-拉扎維(Kaveh Razavi)說。他也是報告這些漏洞的安全小組的一員。

安全研究人員說,在周二發布安全補丁之前,他們就告知了英特爾這些未被修複的漏洞。但該公司要求安全研究人員保持沉默,直到它能夠開發出另一個安全補丁。但這一次他們拒絕了。

“我們認為是時候直接告訴全世界:時至今日,英特爾也沒有解決這些漏洞。”赫伯特-博斯(Herbert Bos)說,他是朱弗裡達和拉扎維在阿姆斯特丹自由大學的同事。

“任何人都可以利用英特爾芯片的安全漏洞來發起攻擊。如果你不真的公開,那就更糟了,因為會有人利用這一點來對付實際上沒有受到保護的用戶。”拉扎維說。(騰訊科技審校/樂學)

獲得更多的PTT最新消息
按讚加入粉絲團