史上最大漏洞危機再生新變種，大量芯片受感染

今年 1 月，“Spectre”和“Meltdown”的兩個安全漏洞給了全球知名芯片製造商們狠狠一記重拳，直接導致全球 iPhone、Android、PC 設備遭受牽連，彼時，堪稱是“史上最大漏洞危機”。而如今，本周一，微軟和穀歌網絡安全研究員公布了新的芯片漏洞，其正為今年 1 月所披露的 Spectre 和 Meltdown 漏洞變種。存在該漏洞的芯片被廣泛應用於計算機和移動設備上，波及範圍較為廣泛。

Meltdown 和 Spectre 漏洞可允許讀取芯片上的密碼和其他敏感數據。最新的芯片漏洞被稱為 Speculative Store Bypass，也被叫作“變體 4 號”，它與此前發現的這兩個漏洞屬於同種類型，但使用了一種不同的獲取敏感信息的方法。

通過利用“Speculative Store Bypass”，該漏洞能夠使處理器芯片向潛在的不安全區域泄露敏感信息。在一份由微軟公布的安全報告中，還表示此漏洞變體可能使得黑客能在瀏覽器的 JavaScript 中植入攻擊腳本。

報道稱，Spectre and Meltdown 安全漏洞自爆發以來，一直影響著英特爾、ARM 和其他比如說 AMD 等各芯片廠商，據不完全統計，它們已經在過去二十年內影響了數百萬的芯片。黑客們也經常搜尋各類未完善的漏洞，以對存在該漏洞的計算機實施攻擊，比如去年造成嚴重影響的 WannaCry 勒索軟件攻擊，就利用的是一個微軟已經修補了的漏洞。

而當漏洞在今年初大規模曝光後，就有研究人員表示他們未來很可能還會衍生出新的 Spectre 變體。目前，這一新漏洞也影響到了許多芯片廠商，包括英特爾、AMD 和微軟旗下的 ARM 都未能幸免。

但是，雖然蘋果、微軟、英特爾等廠商之前發布的修補補丁並沒能完全解決漏洞問題，卻很好地幫助用戶抵禦了這次的新變種漏洞。

據研究人員表示，新漏洞的風險較低，一部分原因就是因為相關公司已在今年早些時候發布大量補丁解決了 Spectre 漏洞，大大增加了黑客利用新漏洞進行攻擊的難度。英特爾官方博客即表示，尚未發現有黑客利用新漏洞發動攻擊，公司將“變體 4 號”漏洞標記為中級風險，因為與該漏洞有關的瀏覽器的多個缺陷已經通過首個補丁包解決了。

在此，據英特爾官方透露，從 1 月份開始，大多數主要瀏覽器廠商在其管理的運行時中，部署了變體 1 的防禦措施，大大增加了在網絡瀏覽器中利用側信道的難度。這些防禦措施也適用於變體 4，目前已經可供用戶使用。然而，“為了確保我們提供全麵防禦措施並防止這種方法用在其他方麵，英特爾和行業合作夥伴正在為變體 4 提供額外的防禦，其中結合了微代碼和軟件更新。”

目前，英特爾已經向 OEM 係統製造商和係統軟件提供商提供了針對變體 4 的測試版微代碼更新，預計未來幾周將用於生產 BIOS 和軟件更新。這個防禦措施會被設置為默認關閉，讓用戶選擇是否啟用。