三大廠晶片存漏洞 全球電腦手機遭殃

【星島日報報道】電腦保安專家發現,全球幾乎所有電腦使用的微處理器存有兩大資訊安全漏洞,可讓黑客竊取電腦記憶體全部資料,受影響電腦數以十億計,內建英特爾、AMD和ARM等晶片的電腦裝置,包括筆記簿型電腦、桌上型電腦、手機、平板電腦及互聯網伺服器等,幾乎無一倖免。 兩大漏洞分別為「熔毀」(Meltdown)及「幽靈」(Spectre),黑客可利用這些漏洞從手機、個人電腦及雲端網絡伺服器等裝置盜走記憶體內容。暫未有證據顯示黑客利用有關漏洞竊取電腦記憶體數據。「熔毀」漏洞影響英特爾(Intel)晶片,讓黑客得以繞過用戶應用程式和電腦記憶體之間的硬件障礙,黑客有可能因此而讀取到電腦記憶體,並盜走帳號和密碼等敏感資料。「幽靈」漏洞影響英特爾、AMD和ARM晶片,讓黑客得以騙過應用程式,令應用程式偵測不到誤差,從而讀取機密資訊。 兩大漏洞由Google母公司Alphabet旗下Google Project Zero和來自多國的學界及業界研究人員共同發現。據報業界已留意到有關漏洞好幾個月。專家表示,要修補「幽靈」漏洞可能需要將微處理器重新設計。至於「熔毀」漏洞則可透過修補程式補救,但電腦速度可能減低百之三十。「熔毀」漏洞對英特爾生產的微處理器構成的影響尤其重大。 協助找出漏洞的奧地利格拉茨科技大學研究人員稱,雖然黑客透過漏洞發動網上攻擊可能有難度,但全球有數以十億計電腦受到影響。兩大保安漏洞實際上影響到市場上有供應的所有微處理器,包括用上AMD晶片的微處理器。桌上型電腦中,約八成使用英特爾微處理器。英特爾及ARM堅稱,漏洞不是晶片設計有瑕疵,但將要求用戶下載修補軟件並更新作業系統,以修補漏洞。英特爾行政總裁克爾扎尼奇說:「手機、個人電腦,全都將受到一些衝擊,但各產品受衝擊程度不一。」他還說,Google研究人員「前陣子」告訴英特爾安全漏洞,英特爾已測試修補程式,將在下周推出。ARM表示,修補程式已提供給合作夥伴,其中包括不少手機製造商。AMD表示,相信AMD產品現時的風險近乎零。 英國獨立科技分析員戈爾德說:「真相並不是英特爾晶片出現瑕疵。只是一些研究人員發現有方法利用現存結構,進入電腦記憶體受保護區域並讀取一些數據,因此這三家公司共同討論補救措施。」未有證據顯示黑客利用這兩大保安漏洞竊取記憶體數據,可是電腦安全問題一旦公開,且用戶沒有安裝修補程序來堵塞漏洞的話,他們在使用電腦上會承受重大風險。Google在網誌貼文表示,已安裝安全更新軟件的Android手機受到保護,Nexus和Pixel手機也一樣。Gmail用戶無須採取額外保護措施,但已安裝Google作業系統的Google雲端服務用戶、Chromebook筆電和Chrome瀏覽器使用者必須安裝更新。 微軟表示,受「熔毀」漏洞影響的桌上型電腦修補程式已經準備妥當,旗下Azure雲端商業服務多數已修復並受保護,一項視窗作業系統安全更新即將推出。蘋果也會為手提電腦及桌上型電腦提供更新。暫不清楚iPhone和iPad的作業系統iOS是否也面臨風險。

睇更多