09
2018
01

从“李小璐吃汉堡”看懂CPU漏洞是什么鬼

 

近期李小璐事件霸占各大网站的话题榜,到底事实如何目前尚且不能确定,但根据诸多爆料来看,作为始作俑者的卓伟此次貌似又是“渔翁得利”,吃瓜群众们则有的心疼亮亮,有的怒锤皮几万。不过,在围观明星八卦的同时,瓜友们也要当心自己会不会成为下一个“李小璐”。

就在1月4日,国外安全研究人员曝出了两组英特尔CPU漏洞,可能影响几乎所有的Intel系统,如果有黑客借此进行攻击,将导致用户信息泄露。看到这里,可能大部分读者还觉得应该跟自己没多大关系,但明白这个漏洞的原理之后,想必所有人都会脊背发凉。

image.png

图1:一张图看懂CPU漏洞是咋回事

据了解,这两组漏洞利用了CPU运作机制中的推测执行特性,可通过用户层面应用从CPU内存中读取核心数据。在实际攻击场景中,攻击者在一定条件下可以泄露出本地操作系统中的底层运作信息,根据这些信息绕过内核的隔离防护,还可以通过浏览器获取用户的相关隐私信息。

其实通俗来说就是,这两个漏洞就像是隐藏在电脑深处的“狗仔”,你的一举一动很有可能被“狗仔”拍下,并提供给“卓伟”——发出攻击的黑客。有网友还给出了一个生动的比喻:李小璐被狗仔跟踪,狗仔们想知道她的点餐信息,只要向服务员表示自己选择和她一样的东西,尽管服务员表示用户信息要保密,还是有可能根据后厨对不同菜品的上餐速度判断出李小璐的点餐信息。此次曝出的CPU漏洞就是这个原理,你的隐私可能就在不知不觉中泄露给了“狗仔”。

而此次曝光的漏洞,受影响的并非是小范围用户:不仅包括了Intel、AMD、ARM等用户,甚至连微软、苹果、亚马逊、Google等公司也被波及,全球所有桌面电脑、笔记本和服务器都处于这次漏洞带来的安全危机之中,几乎全球智能设备用户都难逃此劫!

其中Intel CPU用户首当其冲,因而Intel对此反应最为急切,此外,谷歌、微软等公司也纷纷对产品进行了更新,并发布官方声明称,将与行业内软硬件合作,共同解决此次危机。与此同时,国内安全厂商迅速也做出了相关防御措施。1月5日,360安全卫士紧急推出“CPU漏洞免疫工具”,从漏洞修复及安全防护两方面入手,阻断漏洞入侵通道。1月8日,金山和腾讯等厂商也跟进推出相关的漏洞修复工具。

image.png

图2:CPU漏洞让全球安全行业如临大敌

防御CPU漏洞攻击最关键的一步在于及时打补丁。网传“打补丁可致性能损耗30%”的说法闹得人心惶惶,不过随后这个说法被安全专家所否认,据了解,这只在实验的极端情况下会出现,普通用户打补丁所出现的性能损耗可以忽略不计。

一方面是可以忽略的损耗,一方面是随时可能被泄露的隐私信息,孰轻孰重大家也都明白,总不至于为了硬件性能而甘愿当下一个被“狗仔”跟踪偷拍的李小璐。

打补丁的重要性其实不需多言,想想2017年5月席卷全球的Wannacry勒索病毒,就是因为许多用户、企业在NSA漏洞武器“永恒之蓝”泄露之后,没有及时打补丁修复漏洞,才让不法分子有机可乘。而这次曝光的漏洞影响范围之大,后续会发生怎样的网络恐怖事件尚未可知,希望所有用户都提高警惕,及时修补漏洞更新系统,安装安全软件,养成良好的上网习惯,不要让“永恒之蓝”的悲剧再次上演。

« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。