姓名: 黃敏雯
班級: 政一B學號: 06114248
[標題] 英特爾等晶片資安漏洞 電腦手機都受影響
班級: 政一B學號: 06114248
[標題] 英特爾等晶片資安漏洞 電腦手機都受影響
[出處] http://www.cna.com.tw/news/firstnews/201801040337-1.aspx
2018/01/04 19:55
[內文]
(中央社法蘭克福/舊金山3日綜合外電報導)研究人員今天揭露兩大資安漏洞,這兩大漏洞恐讓駭客有機可趁,竊取機密資訊,內建英特爾、超微和安謀等業者晶片的現代運算裝置幾乎無一倖免。
其中一項漏洞是英特爾(Intel Corp)獨有,但其他安全漏洞影響筆記型、桌上型電腦、手機和平板電腦以及網路伺服器。英特爾和安謀(ARM Holdings)堅稱這項資安問題不是設計暇疵,但將要求用戶下載修補軟體並更新作業系統,以修補漏洞。
英特爾執行長科再奇(Brian Krzanich)接受CNBC專訪時說:「手機、個人電腦,全都將受到部分衝擊,但各產品間衝擊不一。」
這兩大資安漏洞由Alphabet Inc旗下Google Project Zero和來自多國的學界及業界研究人員聯合發現。
第一項漏洞稱為災難(Meltdown),這項漏洞影響英特爾晶片,讓駭客得以繞過用戶應用軟體和電腦記憶體間的硬體障礙,可能會讓駭客讀取電腦記憶體,盜走帳號和密碼。第二項漏洞稱為幽靈(Spectre),影響英特爾、超微和安謀等公司晶片,讓駭客得以騙過沒問題的應用程式,讀取機密資訊。
其中一項漏洞是英特爾(Intel Corp)獨有,但其他安全漏洞影響筆記型、桌上型電腦、手機和平板電腦以及網路伺服器。英特爾和安謀(ARM Holdings)堅稱這項資安問題不是設計暇疵,但將要求用戶下載修補軟體並更新作業系統,以修補漏洞。
英特爾執行長科再奇(Brian Krzanich)接受CNBC專訪時說:「手機、個人電腦,全都將受到部分衝擊,但各產品間衝擊不一。」
這兩大資安漏洞由Alphabet Inc旗下Google Project Zero和來自多國的學界及業界研究人員聯合發現。
第一項漏洞稱為災難(Meltdown),這項漏洞影響英特爾晶片,讓駭客得以繞過用戶應用軟體和電腦記憶體間的硬體障礙,可能會讓駭客讀取電腦記憶體,盜走帳號和密碼。第二項漏洞稱為幽靈(Spectre),影響英特爾、超微和安謀等公司晶片,讓駭客得以騙過沒問題的應用程式,讀取機密資訊。
研究人員表示,蘋果(Apple)和微軟(Microsoft)受Meltdown漏洞影響的桌上型電腦修補程式已經準備妥當。微軟表示,旗下Azure雲端商業服務多數已修復並受保護,正推出一項視窗作業系統安全更新。
微軟發表聲明說:「我們沒有接獲任何利用這些漏洞攻擊我們客戶的通報。」蘋果未回覆路透社置評要求,目前還不清楚iPhone和iPad的作業系統iOS是否也面臨風險。
科再奇告訴CNBC,谷歌研究人員「前陣子」告訴英特爾這項安全漏洞,英特爾已對修補程式進行測試,將在下週推出。
安謀發言人休斯(Phil Hughes)表示,修補程式已提供合作夥伴,其中包括不少智慧手機製造商。
超微(Advanced Micro Devices)晶片也至少受到一項安全漏洞影響。超微表示,他們相信目前超微產品的風險近乎零。
谷歌在部落格貼文表示,已安裝安全更新軟體的Android手機受到保護,谷歌Nexus和Pixel手機也一樣。Gmail用戶無需採取額外保護措施,但已安裝本身作業系統的Google雲端服務用戶、Chromebook筆電和Chrome瀏覽器使用者必須安裝更新。
英國科技新聞網站The Register引述未具名程式人員披露,這項漏洞影響英特爾過去10年生產的X86處理器晶片中的核心記憶體,讓正常程式使用者可以分辨出晶片上受保護區域的設計和內容。恐讓駭客有機可趁,利用其他安全漏洞,或者暴露密碼等機密資訊,造成個人電腦甚至整個伺服器網路遭入侵。
網路安全顧問公司Trail of Bits執行長基多(Dan Guido)說,企業應該趕快更新易受影響的作業系統,還說駭客可能很快就發展出利用這項漏洞攻擊的程式。
基多說:「利用這些漏洞將被納入駭客的標準工具組。」(譯者:中央社劉淑琴)1070104
微軟發表聲明說:「我們沒有接獲任何利用這些漏洞攻擊我們客戶的通報。」蘋果未回覆路透社置評要求,目前還不清楚iPhone和iPad的作業系統iOS是否也面臨風險。
科再奇告訴CNBC,谷歌研究人員「前陣子」告訴英特爾這項安全漏洞,英特爾已對修補程式進行測試,將在下週推出。
安謀發言人休斯(Phil Hughes)表示,修補程式已提供合作夥伴,其中包括不少智慧手機製造商。
超微(Advanced Micro Devices)晶片也至少受到一項安全漏洞影響。超微表示,他們相信目前超微產品的風險近乎零。
谷歌在部落格貼文表示,已安裝安全更新軟體的Android手機受到保護,谷歌Nexus和Pixel手機也一樣。Gmail用戶無需採取額外保護措施,但已安裝本身作業系統的Google雲端服務用戶、Chromebook筆電和Chrome瀏覽器使用者必須安裝更新。
英國科技新聞網站The Register引述未具名程式人員披露,這項漏洞影響英特爾過去10年生產的X86處理器晶片中的核心記憶體,讓正常程式使用者可以分辨出晶片上受保護區域的設計和內容。恐讓駭客有機可趁,利用其他安全漏洞,或者暴露密碼等機密資訊,造成個人電腦甚至整個伺服器網路遭入侵。
網路安全顧問公司Trail of Bits執行長基多(Dan Guido)說,企業應該趕快更新易受影響的作業系統,還說駭客可能很快就發展出利用這項漏洞攻擊的程式。
基多說:「利用這些漏洞將被納入駭客的標準工具組。」(譯者:中央社劉淑琴)1070104
[相關憲法條文]
第5條 中華民國各民族一律平等。
第7條 中華民國人民,無分男女、宗教、種族、階級、黨派,在法律上一律平等
第12條 人民有秘密通訊之自由。
第22條 凡人民之其他自由及權利,不妨害社會秩序公共利益者,均受憲法之保障
[心得評論]
隨著科技的進步,我們愈來愈依賴科技帶來的方便,但當科技的方便成為非法汲取資料的工具就變調了,文中提及包括不少智慧手機、桌上型電腦,甚至網路伺服器等等, 不僅影響到原本硬體軟體的使用,更大的風險而在於內含的隱私,這也是憲法對於人民最基本的保障,但卻能透過其他方式通過重重網絡被破解,如此一來就與原來的期待相悖了,現今也慢慢有意識於科技與我們的生活緊密不分,所以愈來愈多相關的規範產生,雖仍是稍顯不足,但整體而言是正向的趨勢。而我認為除了政府、立法機關意識到科技倫理的問題和一般民眾的危機意識,處處留意自身的資料流向外,擁有資料或是身為科技產品廠商的一方,也應該將心比心做好把關的責任,不論資料的價值、數量大小,最基本的就是保管妥善,甚至更加堤防可能的風險發生。然而明顯如此大規模的資安事件發生出於疏忽,對於資料取得便利以及管理的態度顯得太大意,衝擊時間不一,卻無一倖免,雖然多數公司聲明並沒有接到使用者的通報,但我仍認為並不是完整的處理方式,若不是積極的改善這一部份的問題,這些缺漏仍是駭客最容易攻擊的一塊,即使法律命令怎麼制定,最根本的事發源頭存在等於沒有解決好問題。
沒有留言:
張貼留言