英特爾(Intel)披露了一個(gè)或?qū)е聰?shù)據(jù)被泄露給攻擊者的芯片漏洞。這凸顯出去年首次暴露出來的一種新型的現(xiàn)代芯片設(shè)計(jì)缺陷的風(fēng)險(xiǎn)。

安全研究人員警告稱，這個(gè)漏洞對(duì)云數(shù)據(jù)中心處理的信息構(gòu)成的風(fēng)險(xiǎn)尤其大。許多大型企業(yè)和政府都依賴云數(shù)據(jù)中心來處理它們的部分運(yùn)算需求。

這個(gè)問題被稱為“僵尸負(fù)載”(ZombieLoad)，2011年以后制造的所有英特爾芯片都存在該問題，盡管這家芯片制造商表示，其最新的微處理器已經(jīng)在硬件層面上進(jìn)行修復(fù)以避免該問題。較舊的芯片需要更新微碼以及芯片上運(yùn)行的操作系統(tǒng)。

英特爾周二表示，“相對(duì)于攻擊者可以使用的其他手段而言”，利用這個(gè)漏洞可謂“極其復(fù)雜”，并且尚沒有報(bào)告稱攻擊者在利用該漏洞竊取數(shù)據(jù)。

這個(gè)漏洞“很難利用——但也很難修補(bǔ)。”O(jiān)bsidian Security首席技術(shù)官本?約翰遜(Ben Johnson)表示，“這是我們硬件的基礎(chǔ)——是我們的云、我們的臺(tái)式機(jī)的基礎(chǔ)。”

在“僵尸負(fù)載”問題爆出前，去年初還披露了兩個(gè)普遍存在的芯片漏洞，分別名為“幽靈”(Spectre)和“熔毀”(Meltdown)。它們是新型的芯片設(shè)計(jì)缺陷的首批知名例子，這些缺陷使芯片容易受到攻擊。

該問題源于名為“預(yù)測(cè)執(zhí)行”(speculative execution)的進(jìn)程。在該進(jìn)程中，芯片預(yù)測(cè)它們接下來將會(huì)收到的指令，在未收到程序請(qǐng)求的時(shí)候預(yù)先執(zhí)行數(shù)據(jù)操作。

預(yù)測(cè)執(zhí)行技術(shù)在所有現(xiàn)代電腦芯片的加速方面起到核心作用，但也可能為攻擊者打開大門——如果數(shù)據(jù)被推送到硬件系統(tǒng)的另一部分、從而可被攻擊者訪問的話。

如果修復(fù)“僵尸負(fù)載”問題會(huì)限制系統(tǒng)可同時(shí)處理的“線程”數(shù)量，一些電腦系統(tǒng)在修復(fù)后的速度可能會(huì)大幅變慢。

蘋果(Apple)是在本周二發(fā)布軟件更新的幾家公司之一。它表示，補(bǔ)丁“可能會(huì)使性能降低至多40%”。不過，去年發(fā)布修復(fù)“幽靈”和“熔毀”可能導(dǎo)致電腦性能下降的警告以后，并沒有出現(xiàn)大量關(guān)于電腦性能下降的報(bào)告。

研究人員表示，“僵尸負(fù)載”漏洞最有可能在電腦同時(shí)處理多任務(wù)的情況下被利用，因?yàn)橐粋€(gè)程序泄露的數(shù)據(jù)可能會(huì)被另一個(gè)程序讀取。對(duì)云數(shù)據(jù)中心來說尤其如此。在云數(shù)據(jù)中心，利用一種被稱為“虛擬化”的技術(shù)，不同客戶的程序在同一臺(tái)電腦上運(yùn)行。

約翰遜表示，“預(yù)測(cè)執(zhí)行”漏洞泄露的數(shù)據(jù)不太可能遭到利用，除非是最堅(jiān)決的攻擊者。攻擊者必須穿透硬件層面，然后從大量隨機(jī)信息中篩選出有用的信息。然而，他補(bǔ)充道，使用這種方式可以獲取零散的有用數(shù)據(jù)，如電腦加密密鑰。