intel:我只是留了个后门,被你们发现,只能当致命漏洞了!


发布人:admin分类:漏洞播报浏览量:964发布时间:2018-01-06

一个不可怕

可怕的是全部

昨天小黑胖在大新闻里面写了一个爆炸性的消息,不知道差友们有没有注意到。。

跟往常不一样的是,往常我们熟知的都是操作系统的漏洞,譬如 Windows ,经常爆出漏洞,WannaCry 病毒就是利用它的漏洞锁住文件,勒索比特币的。。

但这次,漏洞是硬件层面的,也就是 CPU 的架构设计有问题。。

更丧病的是,这样核弹级的安全漏洞同时爆出来了两个!

一个是漏洞叫 “ Meltdown ”,另一个漏洞是 “ Spectre ”。

Meltdown 漏洞这个是 Intel 系列专属,它能够让普通程序进程绕过安全防护,访问到内存上操作系统核心信息,这个核心里面原本一直被认为是绝对安全的,所以许多用户密码等敏感信息都在上面裸奔。。

通过 Meltdown 漏洞普通程序就能获得好多东西,这应该是每个黑客的梦想。。

让所有人换电脑 CPU 显然不现实,只能从操作系统入手,用软件来尽量堵住这个漏洞。。

所以,从手机到电脑的操作系统厂商们,都纷纷推出解决方案。。

不过这个原本就是因为 CPU 追求性能埋下的地雷,要填上这个坑只能再牺牲一下性能了。。

你要问更新操作系统,对电脑有没有性能有影响的话,差评君可以很负责任的说,一定会下降!

根据网上人们的测试来看,打了补丁,对性能影响比较大的是 Intel 1995 年到 2013 年的老处理器,从 Skylake 这一代之后就几乎察觉不到了。

普通人的电脑一般也不会体验出什么差别,因为一般办公玩游戏都达不到 CPU满负载运转,趁着黑客还没有开发这个漏洞,乖乖打个补丁就好了。。

最惨的还是云计算提供商,本来前两天 NVIDIA 这边刚禁用 GeForce 系列显卡跑深度学习,估计要大出血换 Tesla 显卡,现在又跑出这个 CPU 架构问题。。

云计算这边的主机都是一个个服务器,性能特别强,所以每个服务器会将自己的计算能力分成一个个小块卖给不同的人,每一份都装上不同的虚拟机,最常见的就是 Linux 系统。。

某厂不同的云服务器

看起来好像大家分开了,实际上有可能十几个人都用的同一个主机。

假如同一个机子 A 和 B 在共用,出了这个漏洞以后,A 可能利用这个安全漏洞,就能拿到内核上 B 的信息,譬如一些网站密码之类的。。

这就很恐怖了。。

为了保证客户数据安全,必须对操作系统进行更新。。不幸的是,因为大家租用服务器很多就是用来跑数据库啥的,那真的是对 CPU 性能依赖的很,一下子给降个 20% ,够云计算服务商喝一壶的。。

腾讯云已经发了更新公告

另一个安全漏洞是 “ Spectre ”,它利用处理器的分支预测特性,有可能骗取CPU 执行本不应该执行的动作,获得本来不应该获取的信息。。

因为现在处理器能大幅上升,很大一部分原因是运用了这个预测技术。

它用一种乱序执行的方式,提前做了好多事,所以才能给人一种快的感觉。。

因为是预测,所以它有可能执行了本不应该执行的命令,也就有可能把本来隐秘的信息泄露出来。。

这个漏洞可就牛了,它几乎影响了 Intel 、AMD、ARM 家大部分 CPU 芯片。所以,几乎所有的手机、电脑、甚至嵌入式设备都逃不掉。。

ARM Cortex-A 系列都躺了

至于对安卓手机的影响,Google 方面说他们在去年发现漏洞了之后就积极解决问题,如果安卓系统更新到最新版,就没有问题了。。

可是,按照国内各大手机厂商深度定制系统的尿性,不知道安卓的这波儿更新哪辈子才能推送到某为、某米上。。

用国产机的差友们默默为自己心疼一秒。。

不知现在这些厂家是不是默念哔了狗。。

当然拿着苹果机的差友们也不要太高兴,因为苹果家 CPU 也用的是 ARM Cortex-A 系列架构,所以,是的,你们也有同样的问题。。

乖乖等着 iOS 更新吧。。

你想问有没有不受影响的设备,有啊 ↓

哦,对了,AMD 说这个漏洞也对自家的产品影响不明显,不知道是不是真的。。

Intel 家看到自己的股票下跌,很不开心。。赶紧出了份声明。。

但是这份声明大概是,“ 我不好,你们也别想好!”

其中有段话是这么说的。。

翻译成人话,就是:芯片就是这么设计的,它就是有泄漏风险。除了我家,还有 other technology companies(其他厂家)呢,别老让我一个人背锅。

然而实际上,风险最大、黑客操作最容易的 “ Meltdown ” 漏洞几乎只有 Intel 一家有(Intel 家也有没有这个漏洞威胁的产品:Itanium系列和 2013 年之前的 Atom)

另外一个“ Spectre ” 漏洞虽然 Intel、AMD、ARM 无一幸免,但是这个漏洞黑客很难利用,成本很高,跟 “ Meltdown ” 根本不在一个等级上好吧,有点脑子的黑客都会优先利用 “ Meltdown ” 。。。

而且它在声明中居然不仅不道歉,因芯片设计问题给大家带来风险,反而理直气壮的说有这个漏洞就是因为正确的按照设计执行。。Excuse me??

它还有一段话是这么说的:

呵呵呵,翻译过来意思是:Intel 相信黑客不会利用这个漏洞去破坏,修改或者删除数据。

请问,哪个黑客偷你的密码还顺便删你报表、改你 PPT?

Intel 还表达了一下对报道这个消息的媒体不满。。

翻译过来:本着负责任的态度,我们 Intel 本来计划在下一周公布这个事情。但没想到半路杀出来一个程咬金 The Register(第一个将这件事情报道出来的媒体),把我们的计划都打乱了!现在矛头都在我身上,我不干我不干!

估计本来想着打点好了,偷偷出个声明,顺便把所有厂家都拉来挡子弹的吧,结果 The Register 一闹大家都知道了,硬生生的把股票砸出一个坑。。

当然,Intel 声明的最后还不忘补充一下:

翻译:Intel 相信自家的产品是世界上最安全的产品,通过和合作商合作,目前的解决方案对顾客来说就是最安全的解决方案。

最安全的方案难道不是把每个有缺陷 CPU 都召回,然后换个没缺陷的版本么?你敢么?

心疼那些给你擦屁股的各大操作系统厂商。。

当然,这不是 Intel 最恶心的一波操作。

去年年底,在这个消息被媒体报道出来之前,Intel 的 CEO 科再奇抛售了大概 1100 万美元的 Intel 股票,手中只留下雇佣协议里要求的最低持股数量 25 万股。。

贱就一个字,我只说一次

当然,今天早些时候科再奇否认了抛售股票和这次漏洞有关。。

信你才有鬼了,11月 Windows 开始补丁内部测试,你就知道离事件公布不远了吧~

这件事情爆发以后,果不其然,AMD 股票涨了。。

农企日常翻身。。。

各大云计算服务商,也都长点心,别都吊在 Intel 一颗树上,万一这个树折了就全完了。。

最难受的应该就是作为用户的我们了,大几千买个好 CPU 还出这种事,找谁说理去?

“ 没想到吧,挤出来的牙膏还会吸回去! ”

想看更多正义感爆棚的内容,记得关注我们哦!!

被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:13157135(PV) 页面执行时间:115.991(MS)