最近全球多间主要晶片生产商承认,他们出品的中央处理器(CPU)因设计上的失误而有严重保安漏洞。

黑客可利用该漏洞,绕过目标系统的保安限制,偷取核心记忆体内的敏感资料。全球数十亿资讯及通讯科技产品,包括桌面电脑、笔记型电脑、云端伺服器、工业电脑、手机等,无一倖免。

根据发现这个保安漏洞的奥地利格拉兹科技大学(University of Graz Technology)资讯保安研究团队的解说,黑客可利用该漏洞进行「Meltdown」及「Spectrum」两种CPU攻击。前者旨在解除禁止应用程式任意存取系统记忆体的保护机制,使一般应用程式可存取系统核心记忆体内的内容;后者则可让应用程式存取其他应用程式内的任意记忆体位置。

若漏洞是栖身于个人电脑内,攻击者可于恶意网页上运行 Javascript 窃取用户浏览器另一个网页标籤中的数据。若是于云端服务中,攻击者则可窃取云端伺服器另一个租户正在处理的数据。

研究团队又指出,要侦测及阻挡这些攻击是十分困难,因为这类入侵是不会在电脑日志留下任何痕迹,而且防毒软件亦很难在执行一般应用程式时,可以把「Meltdown」及「Spectrum」的攻击分辨出来,只能靠于事后通过二进制档案比对来找出这些攻击。

事件曝光后,各大软件及作业系统供应商已迅速地发出更新程式修补漏洞,但部分或只适用于特定的版本,因此用户应加紧留意相关厂商的信息,并尽早做好保安更新,以免敏感资料落入不法份子手中。