intel:我只是留了个后门,被你们发现,只能当致命漏洞了!

发布时间:2018-01-06 11:06:41 作者:小贝 阅读量:588

跟往常不一样的是,往常我们熟知的都是操作系统的漏洞,譬如 Windows ,经常爆出漏洞,WannaCry 病毒就是利用它的漏洞锁住文件,勒索比特币的。。

但这次,漏洞是硬件层面的,也就是 CPU 的架构设计有问题。。

更丧病的是,这样核弹级的安全漏洞同时爆出来了两个!

一个是漏洞叫 “ Meltdown ”,另一个漏洞是 “ Spectre ”。

Meltdown 漏洞这个是 Intel 系列专属,它能够让普通程序进程绕过安全防护,访问到内存上操作系统核心信息,这个核心里面原本一直被认为是绝对安全的,所以许多用户密码等敏感信息都在上面裸奔。。

通过 Meltdown 漏洞普通程序就能获得好多东西,这应该是每个黑客的梦想。。

让所有人换电脑 CPU 显然不现实,只能从操作系统入手,用软件来尽量堵住这个漏洞。。

所以,从手机到电脑的操作系统厂商们,都纷纷推出解决方案。。

不过这个原本就是因为 CPU 追求性能埋下的地雷,要填上这个坑只能再牺牲一下性能了。。

你要问更新操作系统,对电脑有没有性能有影响的话,差评君可以很负责任的说,一定会下降!

根据网上人们的测试来看,打了补丁,对性能影响比较大的是 Intel 1995 年到 2013 年的老处理器,从 Skylake 这一代之后就几乎察觉不到了。

普通人的电脑一般也不会体验出什么差别,因为一般办公玩游戏都达不到 CPU满负载运转,趁着黑客还没有开发这个漏洞,乖乖打个补丁就好了。。

最惨的还是云计算提供商,本来前两天 NVIDIA 这边刚禁用 GeForce 系列显卡跑深度学习,估计要大出血换 Tesla 显卡,现在又跑出这个 CPU 架构问题。。

云计算这边的主机都是一个个服务器,性能特别强,所以每个服务器会将自己的计算能力分成一个个小块卖给不同的人,每一份都装上不同的虚拟机,最常见的就是 Linux 系统。。

某厂不同的云服务器

看起来好像大家分开了,实际上有可能十几个人都用的同一个主机。

假如同一个机子 A 和 B 在共用,出了这个漏洞以后,A 可能利用这个安全漏洞,就能拿到内核上 B 的信息,譬如一些网站密码之类的。。

这就很恐怖了。。

为了保证客户数据安全,必须对操作系统进行更新。。不幸的是,因为大家租用服务器很多就是用来跑数据库啥的,那真的是对 CPU 性能依赖的很,一下子给降个 20% ,够云计算服务商喝一壶的。。

腾讯云已经发了更新公告

另一个安全漏洞是 “ Spectre ”,它利用处理器的分支预测特性,有可能骗取CPU 执行本不应该执行的动作,获得本来不应该获取的信息。。

因为现在处理器能大幅上升,很大一部分原因是运用了这个预测技术。

它用一种乱序执行的方式,提前做了好多事,所以才能给人一种快的感觉。。

因为是预测,所以它有可能执行了本不应该执行的命令,也就有可能把本来隐秘的信息泄露出来。。

这个漏洞可就牛了,它几乎影响了 Intel 、AMD、ARM 家大部分 CPU 芯片。所以,几乎所有的手机、电脑、甚至嵌入式设备都逃不掉。。

ARM Cortex-A 系列都躺了

至于对安卓手机的影响,Google 方面说他们在去年发现漏洞了之后就积极解决问题,如果安卓系统更新到最新版,就没有问题了。。

可是,按照国内各大手机厂商深度定制系统的尿性,不知道安卓的这波儿更新哪辈子才能推送到某为、某米上。。

用国产机的差友们默默为自己心疼一秒。。

不知现在这些厂家是不是默念哔了狗。。

当然拿着苹果机的差友们也不要太高兴,因为苹果家 CPU 也用的是 ARM Cortex-A 系列架构,所以,是的,你们也有同样的问题。。

乖乖等着 iOS 更新吧。。


Intel 家看到自己的股票下跌,很不开心。。赶紧出了份声明。。

但是这份声明大概是,“ 我不好,你们也别想好!”

其中有段话是这么说的。。

翻译成人话,就是:芯片就是这么设计的,它就是有泄漏风险。除了我家,还有 other technology companies(其他厂家)呢,别老让我一个人背锅。

然而实际上,风险最大、黑客操作最容易的 “ Meltdown ” 漏洞几乎只有 Intel 一家有(Intel 家也有没有这个漏洞威胁的产品:Itanium系列和 2013 年之前的 Atom)

另外一个“ Spectre ” 漏洞虽然 Intel、AMD、ARM 无一幸免,但是这个漏洞黑客很难利用,成本很高,跟 “ Meltdown ” 根本不在一个等级上好吧,有点脑子的黑客都会优先利用 “ Meltdown ” 。。。

而且它在声明中居然不仅不道歉,因芯片设计问题给大家带来风险,反而理直气壮的说有这个漏洞就是因为正确的按照设计执行。。Excuse me??

它还有一段话是这么说的:

呵呵呵,翻译过来意思是:Intel 相信黑客不会利用这个漏洞去破坏,修改或者删除数据。

请问,哪个黑客偷你的密码还顺便删你报表、改你 PPT?

Intel 还表达了一下对报道这个消息的媒体不满。。

翻译过来:本着负责任的态度,我们 Intel 本来计划在下一周公布这个事情。但没想到半路杀出来一个程咬金 The Register(第一个将这件事情报道出来的媒体),把我们的计划都打乱了!现在矛头都在我身上,我不干我不干!

估计本来想着打点好了,偷偷出个声明,顺便把所有厂家都拉来挡子弹的吧,结果 The Register 一闹大家都知道了,硬生生的把股票砸出一个坑。

当然,Intel 声明的最后还不忘补充一下:

翻译:Intel 相信自家的产品是世界上最安全的产品,通过和合作商合作,目前的解决方案对顾客来说就是最安全的解决方案。

最安全的方案难道不是把每个有缺陷 CPU 都召回,然后换个没缺陷的版本么?你敢么?

心疼那些给你擦屁股的各大操作系统厂商。。

当然,这不是 Intel 最恶心的一波操作。

去年年底,在这个消息被媒体报道出来之前,Intel 的 CEO 科再奇抛售了大概 1100 万美元的 Intel 股票,手中只留下雇佣协议里要求的最低持股数量 25 万股。

当然,今天早些时候科再奇否认了抛售股票和这次漏洞有关。

信你才有鬼了,11月 Windows 开始补丁内部测试,你就知道离事件公布不远了吧~


我要评论 登录后才能发布评论

故事

11岁熊孩子自导自演诈骗骗局 冒充...

   冒充“中央公安”告知父母,要求自己休学在家协助调查黑客案件,并以此诈骗自家...

14岁女孩为讨26岁心上人欢心 诱...

  为了和年长自己12岁的成年男子黄某交往,年仅14岁的红红竟答应了黄某的要求,...

你连“普通”都做不好,还指望能"成...

  1、西西弗斯  希腊神话中的,西西弗斯受到惩罚,诸神要求他把一块巨石推上山顶...

你不安于现状,却又没有勇气重新开始

  一个好久不联系的姑娘,突然联系我。她说,想来北京,但是不知道能不能找到工作,...

再也不要觉得别人总是过得比你好

  01  为什么你总是羡慕别人  今天公司组织聚餐,大家都乐乐呵呵的,坐在旁边...

Copyright © 2015 - 2017 轻松拾贝
   我要留言