據(jù)外媒報(bào)道，安全研究人員表示，影響所有Mac電腦以及Windows和Linux電腦的英特爾芯片安全漏洞仍然存在—;—;盡管該芯片制造商聲稱已經(jīng)修復(fù)了這些漏洞。

類似的安全漏洞也曾出現(xiàn)在ARM處理器中，后來被修復(fù)?，F(xiàn)階段，沒有跡象表明ARM芯片中仍然存在這些問題。

英特爾CPU的“根本設(shè)計(jì)缺陷”去年被曝光，其中的安全漏洞被稱為“幽靈”(Spectre)和“熔毀”(Meltdown)。它們?cè)试S攻擊者查看內(nèi)核內(nèi)存中的數(shù)據(jù)，這些數(shù)據(jù)包括從緩存文檔到密碼等的任何內(nèi)容。

蘋果和微軟發(fā)布了基于英特爾修復(fù)程序的安全補(bǔ)丁。但安全研究人員表示，他們發(fā)現(xiàn)了該芯片制造商花了六個(gè)月時(shí)間修復(fù)的安全漏洞的其他變體，而且還有更多未被修復(fù)的漏洞仍然存在。

由于擔(dān)心英特爾誤導(dǎo)人們，這些安全研究人員現(xiàn)在決定公開他們發(fā)現(xiàn)的漏洞。

去年5月，英特爾針對(duì)安全研究人員在該公司計(jì)算機(jī)處理器中發(fā)現(xiàn)的安全漏洞發(fā)布了一系列安全補(bǔ)丁，并暗示所有問題都已解決。

但據(jù)荷蘭阿姆斯特丹自由大學(xué)的研究人員稱，這并不完全是真的。2018年9月，荷蘭研究人員發(fā)現(xiàn)了漏洞，并首次向這家科技巨頭報(bào)告了這些漏洞。但是，英特爾用于修復(fù)處理器漏洞的安全補(bǔ)丁僅解決了這些研究人員發(fā)現(xiàn)的部分問題。

來自英特爾的公開信息是“一切漏洞都已被修復(fù)?！焙商m阿姆斯特丹自由大學(xué)的計(jì)算機(jī)科學(xué)教授、報(bào)告漏洞的研究人員之一克里斯蒂亞諾-朱弗里達(dá)(Cristiano Giuffrida)說，“我們知道這是不準(zhǔn)確的。”

負(fù)責(zé)任的安全研究人員首先會(huì)私下向相關(guān)公司披露他們的發(fā)現(xiàn)。在通常情況下，這些公司有六個(gè)月的時(shí)間來解決相關(guān)漏洞，之后這些安全研究人員才會(huì)公開他們的發(fā)現(xiàn)。這樣做的效果通常很不錯(cuò)，為硬件和軟件供應(yīng)商提供了創(chuàng)建安全補(bǔ)丁的時(shí)間，公眾也被告知需要更新。

但荷蘭研究人員表示，英特爾一直在濫用這個(gè)過程。他們說，周二發(fā)布的新的安全補(bǔ)丁仍然無法修復(fù)他們?cè)?月份提供給英特爾的另一個(gè)漏洞。

英特爾承認(rèn)，五月份的安全補(bǔ)丁并沒有修復(fù)安全研究人員提交的所有漏洞。周二的安全補(bǔ)丁也沒有做到這一點(diǎn)。但該公司發(fā)言人利-羅森瓦爾德(Leigh Rosenwald)表示，它們“極大地降低了”黑客攻擊的風(fēng)險(xiǎn)。

安全研究人員表示，該團(tuán)隊(duì)已經(jīng)給英特爾爭(zhēng)取了盡可能長(zhǎng)的時(shí)間，現(xiàn)在他們認(rèn)定，公開披露他們發(fā)現(xiàn)的漏洞是必要的。這樣做首先是為了讓英特爾感到羞愧，促使其采取更積極的行動(dòng)，其次是因?yàn)橄嚓P(guān)漏洞的細(xì)節(jié)已經(jīng)開始泄露，這可能會(huì)讓不法分子有機(jī)可乘。

荷蘭安全研究人員對(duì)他們發(fā)現(xiàn)的問題保持了八個(gè)月的沉默。在此期間，英特爾開發(fā)了安全補(bǔ)丁，并在5月份發(fā)布。然后，在英特爾意識(shí)到其安全補(bǔ)丁并不能解決所有問題后，它要求安全研究人員再保持沉默六個(gè)月，而且還要求安全研究人員修改他們計(jì)劃在安全會(huì)議上提交的一篇論文，以避免提及任何未被修復(fù)的漏洞。研究人員表示，盡管他們很不情愿，但最終還是同意了，因?yàn)樗麄円膊幌Ｍ@些漏洞在沒有解決方案的情況下被公眾所知。

“我們不得不修改論文，遮人耳目，讓人們看不到其芯片有多么容易受到攻擊?！蓖瑸楹商m阿姆斯特丹自由大學(xué)計(jì)算機(jī)科學(xué)教授的卡維-拉扎維(Kaveh Razavi)說。他也是報(bào)告這些漏洞的安全小組的一員。

安全研究人員說，在周二發(fā)布安全補(bǔ)丁之前，他們就告知了英特爾這些未被修復(fù)的漏洞。但該公司要求安全研究人員保持沉默，直到它能夠開發(fā)出另一個(gè)安全補(bǔ)丁。但這一次他們拒絕了。

“我們認(rèn)為是時(shí)候直接告訴全世界：時(shí)至今日，英特爾也沒有解決這些漏洞。”赫伯特-博斯(Herbert Bos)說，他是朱弗里達(dá)和拉扎維在阿姆斯特丹自由大學(xué)的同事。

“任何人都可以利用英特爾芯片的安全漏洞來發(fā)起攻擊。如果你不真的公開，那就更糟了，因?yàn)闀?huì)有人利用這一點(diǎn)來對(duì)付實(shí)際上沒有受到保護(hù)的用戶。”拉扎維說。（騰訊科技審校/樂學(xué)）