英特爾(Intel)披露了一個或?qū)е聰?shù)據(jù)被泄露給攻擊者的芯片漏洞。這凸顯出去年首次暴露出來的一種新型的現(xiàn)代芯片設(shè)計缺陷的風險。

安全研究人員警告稱，這個漏洞對云數(shù)據(jù)中心處理的信息構(gòu)成的風險尤其大。許多大型企業(yè)和政府都依賴云數(shù)據(jù)中心來處理它們的部分運算需求。

這個問題被稱為“僵尸負載”(ZombieLoad)，2011年以后制造的所有英特爾芯片都存在該問題，盡管這家芯片制造商表示，其最新的微處理器已經(jīng)在硬件層面上進行修復(fù)以避免該問題。較舊的芯片需要更新微碼以及芯片上運行的操作系統(tǒng)。

英特爾周二表示，“相對于攻擊者可以使用的其他手段而言”，利用這個漏洞可謂“極其復(fù)雜”，并且尚沒有報告稱攻擊者在利用該漏洞竊取數(shù)據(jù)。

這個漏洞“很難利用——但也很難修補?！監(jiān)bsidian Security首席技術(shù)官本?約翰遜(Ben Johnson)表示，“這是我們硬件的基礎(chǔ)——是我們的云、我們的臺式機的基礎(chǔ)?！?/p>

在“僵尸負載”問題爆出前，去年初還披露了兩個普遍存在的芯片漏洞，分別名為“幽靈”(Spectre)和“熔毀”(Meltdown)。它們是新型的芯片設(shè)計缺陷的首批知名例子，這些缺陷使芯片容易受到攻擊。

該問題源于名為“預(yù)測執(zhí)行”(speculative execution)的進程。在該進程中，芯片預(yù)測它們接下來將會收到的指令，在未收到程序請求的時候預(yù)先執(zhí)行數(shù)據(jù)操作。

預(yù)測執(zhí)行技術(shù)在所有現(xiàn)代電腦芯片的加速方面起到核心作用，但也可能為攻擊者打開大門——如果數(shù)據(jù)被推送到硬件系統(tǒng)的另一部分、從而可被攻擊者訪問的話。

如果修復(fù)“僵尸負載”問題會限制系統(tǒng)可同時處理的“線程”數(shù)量，一些電腦系統(tǒng)在修復(fù)后的速度可能會大幅變慢。

蘋果(Apple)是在本周二發(fā)布軟件更新的幾家公司之一。它表示，補丁“可能會使性能降低至多40%”。不過，去年發(fā)布修復(fù)“幽靈”和“熔毀”可能導致電腦性能下降的警告以后，并沒有出現(xiàn)大量關(guān)于電腦性能下降的報告。

研究人員表示，“僵尸負載”漏洞最有可能在電腦同時處理多任務(wù)的情況下被利用，因為一個程序泄露的數(shù)據(jù)可能會被另一個程序讀取。對云數(shù)據(jù)中心來說尤其如此。在云數(shù)據(jù)中心，利用一種被稱為“虛擬化”的技術(shù)，不同客戶的程序在同一臺電腦上運行。

約翰遜表示，“預(yù)測執(zhí)行”漏洞泄露的數(shù)據(jù)不太可能遭到利用，除非是最堅決的攻擊者。攻擊者必須穿透硬件層面，然后從大量隨機信息中篩選出有用的信息。然而，他補充道，使用這種方式可以獲取零散的有用數(shù)據(jù)，如電腦加密密鑰。