全球第二大晶片製造商英特爾(Intel)、美國超微半導體(AMD)和英國安謀(ARM)生產的中央處理器(CPU)被揭有嚴重保安漏洞,令黑客可以利用漏洞取得重要資料。雖然目前未有入侵報告,但由於影響範圍或遍及過去10年生產、採用有關公司晶片的電腦產品及雲端伺服器,各科技公司急作補救。英特爾周三承認事件,但淡化影響。今次漏洞早在去年6月發現,英特爾原定下周才公開事件及發布修補程式,但有網站周二披露有關發現,令英特爾提前公布。
出事晶片橫跨10年
CPU是電腦最重要部分,所有資料運算時都會經過CPU的內核(kernel),因此今次的漏洞較個別程式漏洞嚴重。專家這次發現一種名為Meltdown和兩種合稱Spectre的硬件設計漏洞。這兩種漏洞分別利用了CPU的「亂序執行」(Out-of-order execution)機能與「分支預測」(Branch Prediction)機能,讓惡意程式碼可從中偷取資料。
Meltdown是相對易被利用的一個,嚴重性也大得多。正常來說,每個應用程式都是獨立的,不能看到其他程式的資料,但在Intel的處理器(和ARM Cortex-A75)中,因為亂序執行在處理資料時將所有程式混在一起,因此用特別編寫的程式碼,便可在指定位置,「偷取」其他程式的資料。由於這屬硬體設計瑕疵,因此無論哪種作業系統,只要使用1995年後的Intel處理器都會受影響。
Spectre則操作CPU的分支預測機能,欺騙受害的應用程式將指定位置的資料放出來。
除了Intel, AMD和ARM處理器都有風險。專家稱,這漏洞較難利用,但同時亦較難處理。
修補程式恐減慢速度
英特爾為全球約80%桌上電腦、90%手機電腦提供CPU晶片,再加上AMD和ARM的產品,這次受影響裝置的數量難以估計。
今次漏洞早已在去年6月得悉。英特爾和Google本計劃下周才公布事件,結果提早至周三承認有保安漏洞。作業系統開發商已陸續提供修補程式,例如蘋果公司在去年12月,已為macOS和舊系統提供更新,微軟亦已經發布軟件更新。科技網站The Register稱,目前的修補方式是將內核資料搬離處理器,代價是電腦效能會下降,可能減速達30%。
CEO去年大舉出售股份惹質疑
雖然Google工程師稱有關漏洞影響所有處理器,但事件暫時影響英特爾最大。英特爾周三(3日)承認保安漏洞,但淡化影響,稱不構成危險,又指其他公司生產的處理器晶片和作業系統,亦可能出現漏洞。英特爾稱,不預期今次漏洞會導致巨額賠償。但有網站憂慮修補程式可能拖慢電腦表現,有傳媒稱,事件或引發集體訴訟。傳媒昨日更翻舊帳,稱英特爾行政總裁克爾扎尼奇去年11月,出售約64.4萬股英特爾股分,目前僅擁有稍為超出任行政總裁一職所需的法定最低持股量,而英特爾去年6月已知有關漏洞,質疑他是否得悉漏洞才出售股分。
被指同樣受到漏洞影響的AMD則發聲明,稱產品不受漏洞影響,相信出現保安漏洞的機會近乎零。ARM則表示會為Linux的用戶提供修補方式。
(衛報/彭博社/BBC)