英特爾等晶片資安漏洞 電腦手機都受影響

（中央社法蘭克福/舊金山3日綜合外電報導）研究人員今天揭露兩大資安漏洞，這兩大漏洞恐讓駭客有機可趁，竊取機密資訊，內建英特爾、超微和安謀等業者晶片的現代運算裝置幾乎無一倖免。

其中一項漏洞是英特爾（Intel Corp）獨有，但其他安全漏洞影響筆記型、桌上型電腦、手機和平板電腦以及網路伺服器。英特爾和安謀（ARM Holdings）堅稱這項資安問題不是設計暇疵，但將要求用戶下載修補軟體並更新作業系統，以修補漏洞。

英特爾執行長科再奇（Brian Krzanich）接受CNBC專訪時說：「手機、個人電腦，全都將受到部分衝擊，但各產品間衝擊不一。」

這兩大資安漏洞由Alphabet Inc旗下Google Project Zero和來自多國的學界及業界研究人員聯合發現。

第一項漏洞稱為災難（Meltdown），這項漏洞影響英特爾晶片，讓駭客得以繞過用戶應用軟體和電腦記憶體間的硬體障礙，可能會讓駭客讀取電腦記憶體，盜走帳號和密碼。第二項漏洞稱為幽靈（Spectre），影響英特爾、超微和安謀等公司晶片，讓駭客得以騙過沒問題的應用程式，讀取機密資訊。

研究人員表示，蘋果（Apple）和微軟（Microsoft）受Meltdown漏洞影響的桌上型電腦修補程式已經準備妥當。微軟表示，旗下Azure雲端商業服務多數已修復並受保護，正推出一項視窗作業系統安全更新。

微軟發表聲明說：「我們沒有接獲任何利用這些漏洞攻擊我們客戶的通報。」蘋果未回覆路透社置評要求，目前還不清楚iPhone和iPad的作業系統iOS是否也面臨風險。

科再奇告訴CNBC，谷歌研究人員「前陣子」告訴英特爾這項安全漏洞，英特爾已對修補程式進行測試，將在下週推出。

安謀發言人休斯（Phil Hughes）表示，修補程式已提供合作夥伴，其中包括不少智慧手機製造商。

超微（Advanced Micro Devices）晶片也至少受到一項安全漏洞影響。超微表示，他們相信目前超微產品的風險近乎零。

谷歌在部落格貼文表示，已安裝安全更新軟體的Android手機受到保護，谷歌Nexus和Pixel手機也一樣。Gmail用戶無需採取額外保護措施，但已安裝本身作業系統的Google雲端服務用戶、Chromebook筆電和Chrome瀏覽器使用者必須安裝更新。

英國科技新聞網站The Register引述未具名程式人員披露，這項漏洞影響英特爾過去10年生產的X86處理器晶片中的核心記憶體，讓正常程式使用者可以分辨出晶片上受保護區域的設計和內容。恐讓駭客有機可趁，利用其他安全漏洞，或者暴露密碼等機密資訊，造成個人電腦甚至整個伺服器網路遭入侵。

網路安全顧問公司Trail of Bits執行長基多（Dan Guido）說，企業應該趕快更新易受影響的作業系統，還說駭客可能很快就發展出利用這項漏洞攻擊的程式。

基多說：「利用這些漏洞將被納入駭客的標準工具組。」（譯者：中央社劉淑琴）1070104

本網站之文字、圖片及影音，非經授權，不得轉載、公開播送或公開傳輸及利用。