我们直言不讳:关于 Meltdown 和 Spectre 这两个新的计算机漏洞,有好消息也有坏消息。坏消息是,这些缺陷非常严重、复杂,并且对整个行业都有广泛的影响;好消息是,作为普通的智能手机和电脑用户,您只需要做一件事,那就是确保您的设备上运行的软件是最新的。
这些漏洞让安全专家感到担忧,因为它们的根源在于驱动您设备处理器的根本设计。与某些与特定操作系统相关的安全问题(例如旧版本的 Windows)不同,这些不是。它们还会影响亚马逊和谷歌等大公司运行的服务器,而这些服务器都需要处理器来运行。
Shape Security 的首席技术官、曾任谷歌点击欺诈产品经理的 Shuman Ghosemajumder 说:“CPU 中存在根本性漏洞的想法,可能是您能想象到的最可怕的事情之一,因为它会让如此多的系统变得脆弱。从某些方面来说,我们之前没有遇到过类似的事情,这几乎令人惊讶——但这些特定的漏洞实际上在 CPU 中已经存在很多年了。”
那么它们是什么呢?
要理解这些安全漏洞的根源,了解芯片使用的称为“推测执行”的过程会有所帮助。推测执行通常是一件好事——它有助于处理器高效运行。简单来说,处理器在计算时会猜测接下来可能发生什么,并提前做一些工作以获得优势,很可能这样做是正确的,并且这些工作将派上用场。您可以将其视为在空闲时间做一些您非常确定之后会需要做的事情,比如准备您的老板通常会在周三要求的报告。
Ghosemajumder 说:“推测执行这个概念本身并没有什么内在的错误或不安全之处——关键在于它的实现方式。”
Spectre 和 Meltdown 都利用了推测执行来做一些它们不应该做的事情,并且都影响了英特尔、AMD 和 ARM 等公司的芯片;Spectre 被认为是更广泛的威胁。总共有三项漏洞,因为“Spectre”这个词包含了两种不同的攻击类型。
那么黑客如何利用它们呢?
计算机安全公司 SentinelOne 的首席执行官 Tomer Weingarten 解释说,Spectre 涉及一个程序(如网页浏览器)被攻破,然后被用来查看另一个程序(如 Microsoft Word)正在发生什么。Meltdown 是一种漏洞,攻击者可以访问他们不应该访问的计算机内存的一部分。Weingarten 说,Spectre 可能更容易被攻击者实际使用。
他说:“这些可能是我们近期见过的最糟糕的一些漏洞。”
那么我该怎么办?
您可以做的最重要的事情是保持您的手机或计算机上的软件更新,同时采取标准的、常识性的安全措施,例如警惕通过电子邮件进行的网络钓鱼攻击。
公司已经开始推出软件更新来防御这些漏洞。苹果在其 这篇帖子 中解释了它为 iOS 设备和 Mac 发布了哪些软件来减轻 Meltdown 和 Spectre 的影响;谷歌在此 总结了 其服务的状态,包括 Android 和 Chrome 浏览器(将于 1 月 23 日进行重要更新);这家搜索巨头还 解释了 他们为保护 Google Cloud 所采取的措施。微软在此 说明了 Windows 客户应该怎么做——他们在保护某些使用旧款 AMD 处理器的设备方面 遇到过问题。
Ghosemajumder 说:“每个人都在努力尽快有效地修补这个问题。”对于 Chrome,一个可以考虑打开的高级功能是 站点隔离。
尽管人们担心这些更新会在不同程度上降低处理器速度,但最终,安装补丁符合您的最大利益。正如 Ghosemajumder 警告的那样,世界上最脆弱的机器是那些“被遗弃”的机器,因为人们无法或不愿意更新软件,因此这些漏洞可以被用来在全球范围内针对这些设备。
他说:“Spectre 和 Meltdown 漏洞将成为所有攻击者的标准工具集的一部分。”
