英特爾芯片出現三大漏洞 電腦內存信息或被竊取

據英國《每日郵報》8月15日報道，安全研究人員揭露英特爾芯片中存在三大漏洞，黑客可能會利用此來竊取計算機內存或第三方云中的數據。

一個國際小組最初發現了一種名為Foreshadowd的漏洞，它可以讓黑客從電腦的內存中竊取信息，包括文件、圖片和密碼。在今年早些時候，研究人員向英特爾公司通報了這一問題后，該公司發現了另外兩種可能帶來更加毀滅性后果的變體，這兩種變體允許黑客訪問存儲在第三方云上的信息。英特爾在15日的一篇博客文章中披露了最新的缺陷，其中將三種新發現的漏洞分為L1終端故障(L1TF)。

Foreshadow是針對英特爾的SXG功能，該功能旨在保護用戶免受所謂的投機性執行攻擊。根據發現漏洞的團隊的說法，SXG實質上是圍繞用戶數據建立了一個“堡壘”。這個堡壘可以通過驅逐那些想要滲透到系統中的“偵察兵”，從而阻止潛在的攻擊。但是，Foreshadow卻能夠在這個范圍內運行。研究人員說，“雖然黑客控制的偵察兵無法進入要塞，但仍然控制著堡壘周圍的環境。尤其是黑客可以將堡壘數據的影子副本創建到一個不受保護的位置。然后，Foreshadow將投機性執行偵察兵引導到影子副本中，從而讀取受保護的數據?！毖芯咳藛T還指出，一旦堡壘被攻破，黑客就可以創建大量的假副本，讓用戶可以直接輸入他們的敏感性數據。

在發現Foreshadow漏洞的幾個月前，研究人員披露了“幽靈”和“熔毀”的設計缺陷，這些缺陷可能會讓黑客從使用英特爾、AMD和ARM Holdings等芯片的電腦中竊取信息。

英特爾表示，受到影響的產品包括被廣為使用的Core以及Xeon處理器，這讓個人電腦用戶和數據中心都面臨風險。公司在博文中表示：“我們尚未獲悉這些方法是否被利用，不過這也進一步強調了所有人都需要遵守安全準則?！?/p>

英特爾于8月15日開始對操作系統和管理程序軟件進行更新，加上今年早些時候發布的更新，以降低用戶所受風險。此外，英特爾還致力于改進硬件，防范未來機型遭受此類攻擊。

英特爾認為此次漏洞對普通用戶造成的風險相對較小。但是，數據中心和運行傳統虛擬化技術的人可能需要采取額外的防護措施。該公司目前正敦促用戶安裝最新的更新包。英特爾說，“一旦系統更新，我們預計運行非虛擬化操作系統的用戶和企業用戶所受的風險將會大大降低?！?實習編譯：李謙儒 審稿：李宗澤)