從“李小璐吃漢堡”看懂CPU漏洞是什么鬼

1月8日消息，近期李小璐事件霸占各大網(wǎng)站的話題榜，到底事實(shí)如何目前尚且不能確定，但根據(jù)諸多爆料來(lái)看，作為始作俑者的卓偉此次貌似又是“漁翁得利”，吃瓜群眾們則有的心疼亮亮，有的怒錘皮幾萬(wàn)。不過(guò)，在圍觀明星八卦的同時(shí)，瓜友們也要當(dāng)心自己會(huì)不會(huì)成為下一個(gè)“李小璐”。

就在1月4日，國(guó)外安全研究人員曝出了兩組英特爾CPU漏洞，可能影響幾乎所有的Intel系統(tǒng)，如果有黑客借此進(jìn)行攻擊，將導(dǎo)致用戶信息泄露。看到這里，可能大部分讀者還覺(jué)得應(yīng)該跟自己沒(méi)多大關(guān)系，但明白這個(gè)漏洞的原理之后，想必所有人都會(huì)脊背發(fā)涼。

據(jù)了解，這兩組漏洞利用了CPU運(yùn)作機(jī)制中的推測(cè)執(zhí)行特性，可通過(guò)用戶層面應(yīng)用從CPU內(nèi)存中讀取核心數(shù)據(jù)。在實(shí)際攻擊場(chǎng)景中，攻擊者在一定條件下可以泄露出本地操作系統(tǒng)中的底層運(yùn)作信息，根據(jù)這些信息繞過(guò)內(nèi)核的隔離防護(hù)，還可以通過(guò)瀏覽器獲取用戶的相關(guān)隱私信息。

其實(shí)通俗來(lái)說(shuō)就是，這兩個(gè)漏洞就像是隱藏在電腦深處的“狗仔”，你的一舉一動(dòng)很有可能被“狗仔”拍下，并提供給“卓偉”——發(fā)出攻擊的黑客。有網(wǎng)友還給出了一個(gè)生動(dòng)的比喻：李小璐被狗仔跟蹤，狗仔們想知道她的點(diǎn)餐信息，只要向服務(wù)員表示自己選擇和她一樣的東西，盡管服務(wù)員表示用戶信息要保密，還是有可能根據(jù)后廚對(duì)不同菜品的上餐速度判斷出李小璐的點(diǎn)餐信息。此次曝出的CPU漏洞就是這個(gè)原理，你的隱私可能就在不知不覺(jué)中泄露給了“狗仔”。

而此次曝光的漏洞，受影響的并非是小范圍用戶：不僅包括了Intel、AMD、ARM等用戶，甚至連微軟、蘋(píng)果、亞馬遜、Google等公司也被波及，全球所有桌面電腦、筆記本和服務(wù)器都處于這次漏洞帶來(lái)的安全危機(jī)之中，幾乎全球智能設(shè)備用戶都難逃此劫！

其中Intel CPU用戶首當(dāng)其沖，因而Intel對(duì)此反應(yīng)最為急切，此外，谷歌、微軟等公司也紛紛對(duì)產(chǎn)品進(jìn)行了更新，并發(fā)布官方聲明稱，將與行業(yè)內(nèi)軟硬件合作，共同解決此次危機(jī)。與此同時(shí)，國(guó)內(nèi)安全廠商迅速也做出了相關(guān)防御措施。1月5日，360安全衛(wèi)士緊急推出“CPU漏洞免疫工具”，從漏洞修復(fù)及安全防護(hù)兩方面入手，阻斷漏洞入侵通道。1月8日，金山和騰訊等廠商也跟進(jìn)推出相關(guān)的漏洞修復(fù)工具。

防御CPU漏洞攻擊最關(guān)鍵的一步在于及時(shí)打補(bǔ)丁。網(wǎng)傳“打補(bǔ)丁可致性能損耗30%”的說(shuō)法鬧得人心惶惶，不過(guò)隨后這個(gè)說(shuō)法被安全專家所否認(rèn)，據(jù)了解，這只在實(shí)驗(yàn)的極端情況下會(huì)出現(xiàn)，普通用戶打補(bǔ)丁所出現(xiàn)的性能損耗可以忽略不計(jì)。

一方面是可以忽略的損耗，一方面是隨時(shí)可能被泄露的隱私信息，孰輕孰重大家也都明白，總不至于為了硬件性能而甘愿當(dāng)下一個(gè)被“狗仔”跟蹤偷拍的李小璐。

打補(bǔ)丁的重要性其實(shí)不需多言，想想2017年5月席卷全球的Wannacry勒索病毒，就是因?yàn)樵S多用戶、企業(yè)在NSA漏洞武器“永恒之藍(lán)”泄露之后，沒(méi)有及時(shí)打補(bǔ)丁修復(fù)漏洞，才讓不法分子有機(jī)可乘。而這次曝光的漏洞影響范圍之大，后續(xù)會(huì)發(fā)生怎樣的網(wǎng)絡(luò)恐怖事件尚未可知，希望所有用戶都提高警惕，及時(shí)修補(bǔ)漏洞更新系統(tǒng)，安裝安全軟件，養(yǎng)成良好的上網(wǎng)習(xí)慣，不要讓“永恒之藍(lán)”的悲劇再次上演。