英特尔芯片再现安全漏洞，芯片安全问题有待进一步解决

此前英特尔曾经就芯片的漏洞发表过声明，在当时宣布时也引起了人们的普遍恐慌。而近日英特尔芯片再传出有安全漏洞，并表示是公司的处理器设计出现的问题，将会影响到全球数百万部的电脑的安全性。

安全漏洞能够窃取敏感数据流

英特尔和安全研究人员宣布，他们在英特尔芯片中发现一个重大安全漏洞，它能够让攻击者窃取受害者处理器接触到的几乎所有原始数据，能够从计算机的CPU窃取可能十分敏感的数据流。一年多前，安全研究人员披露了英特尔和AMD销售芯片中隐藏的两大安全漏洞，即“熔毁”和“幽灵”，它们让世界上几乎所有电脑都处于黑客攻击的危险之中。

英特尔公司的产品安全主任说，处理器的瑕疵可使黑客看到设备中的资料。但该公司表示迄今尚无证据显示实验室之外的人发现了这个瑕疵，因为在现实生活中要找到芯片瑕疵极为不易。报道称，英特尔的处理器是安装在智能手机和个人计算机上，他们与商业伙伴和研究人员协作数月后，目前的瑕疵问题将在最新推出的芯片上解决。

谷歌、苹果、亚马逊和微软等主要科技公司14日都提示用户，要注意所使用的设备与软件，呼吁他们遇到危险时如何克服和避免，因为上述公司的许多设备和软件都装有英特尔的处理器。随着公司和个人越来越多地把资料放在“云端”存储，云端上的个人资料的安全也日益受到重视。

报道称，黑客过去很少注意到计算机硬件的处理器，但英特尔的处理器出现瑕疵，显示黑客从理论上可翻越硬件上设置的障碍，进而窃取计算机中被视为保存最安全的数据后，2018年在处理器业界引起震动。

此前也提出过芯片漏洞

此前，英特尔也爆出芯片级漏洞波，其范围之广、程度之深令众消费者始料未及，而位于漩涡中心的Intel扮演的是一个相当重要但尴尬的角色。

首先，事件的起点是Intel市售处理器被爆出因为设计的缺漏，会造成原本普通的程序却可以拥有前所未有的高权限，甚至可以直接访问核心内存当中的数据，这对于用户隐私和设备安全无疑是多年来前所未有的噩梦。很快，漏洞迅速升级演变，研究人员称其为“Meltdown”(熔断)和“Spectre”(幽灵)，不仅可以拥有内核级别的高权限，潜在的危害性、影响的广阔性、解决的棘手性都始料未及，因此这次曝光的漏洞才会闹得沸沸扬扬。

事件起因及漏洞危害性：不修复如同赤身裸泳，修复后如同大病初愈

去年，Google旗下的Project Zero团队发现了一些由CPU“预测执行”(Speculative Execution)引发的芯片级漏洞，“Spectre”(变体1和变体2：CVE-2017-5753和CVE-2017-5715)和“Meltdown”(变体3：CVE-2017-5754)，这三个漏洞都是先天性质的架构设计缺陷导致的，可以让非特权用户访问到系统内存从而读取敏感信息。

Google的Project Zero研究员还发现每一颗1995年后发布的处理器都会受到影响。

一开始人们关注这个漏洞是因为说原则上说除重新设计芯片，几乎没有完全排除风险的机会，然而修复后会导致性能下降，这种矛盾才是引起关注的原因。但随着部分专业人员挖掘资料的增多，发现影响的处理器非常广，除包括Intel外，还包括了AMD，ARM的处理器在“黑名单”上，这意味着无论是Windows，Linux，Mac系统抑或移动端的Android，都有潜在的安全威胁。

黑客攻击的主要方式是ZombieLoad

黑客攻击利用的漏洞包括Fallout、 RIDL和ZombieLoad，最主要的是ZombieLoad，这种漏洞能通过英特尔芯片设计的缺陷泄露敏感的用户数据。

ZombieLoad利用英特尔芯片的设计漏洞进行攻击，类似Meltdown 和Spectre。ZombieLoad采用“预测执行”程序，即利用处理器，预测一项应用或某个系统未来要进行的操作或要加工的数据。黑客通过这些新攻击手段破坏芯片元件间的缓存存储器。黑客通过接入恶意应用程序等方法，攻击由目标芯片驱动的电脑用户。实施“预测执行”程序能让黑客攻击免受安全检查。

英特尔称，如今发布博文也易受到攻击。以MDS(微架构数据采样)为例，该公司称在特定条件下，MDS为某个程序提供读取数据的方法，而该程序无法自行查明。切实利用MDS是一项非常复杂的任务，MDS自身并不会为黑客提供选择泄露数据的方法。

ADM半导体公司和ARM公司制造的芯片未受到最新漏洞的影响。然而据美国科技博客TechCrunch称，该漏洞实际上影响了几乎每台配备英特尔处理器(可追溯到2011年)的电脑。

使用芯片的用户能够利用研究人员发明的检测工具判断电脑是否感染病毒。英特尔表示，再推出的处理器将进行必要的硬件更新，解决现在的电脑容易受攻击的问题。现在该公司已经着手更新操作系统和管理程序软件以此修复漏洞。对于该漏洞的不安全性，一些人指出由于黑客无法控制自己传入芯片的时间，所以所获得的数据并不保证是有价值的，但是也有可能接收到有用的数据。