最近電腦和手機處理器爆發稱為 Meltdown/Spectre 的重大安全漏洞,讓黑客有機會藉惡意程式,讀取記憶體內的資料。別以為只有在電腦和手機中毒或受惡意程式感染時,裝置才有機會被黑客透過 Meltdown/Spectre 安全漏洞竊取資料,其實相關安全漏洞也可透過 JavaScript 發動,一旦誤進已加載惡意 JavaScript 程式碼的網頁,隨時在防毒程式未能及時發出警報前,系統資料已被黑客順利盜取。
Meltdown/Spectre 是兩個不同的處理器重大安全漏洞。當中 Meltdown 安全漏洞,利用到處理器的「亂序執行(Out-of-order execution)」功能竊取資料,較易被黑客利用,同時自 1995 年後的 Intel 處理器,均受 Meltdown 漏洞影響。至於 Spectre 安全漏洞,則利用到「分支預測(Branch Prediction)」功能竊取資料,雖較難被黑客利用,但相關安全漏洞卻影響到 Intel、AMD 和 ARM 處理器,對電腦、手機和平板電腦的系統安全帶來較廣泛的影響。
【精選報道】
【精選報道】
由於黑客只要編寫數句簡單的 JavaScript,即可利用 Meltdown/Spectre 安全漏洞發動攻擊,故此除了系統需要安裝更新堵塞漏洞之餘,瀏覽器也要作出更新堵塞漏洞,才可避免系統被黑客利用 Meltdown/Spectre 攻擊竊取資料。目前 Apple、Google、Microsoft、Mozilla 等瀏覽器開發商,正為《Safari》、《Chrome》、《Internet Explorer》、《Edge》、《Firefox》等較普及的瀏覽器更新編碼,預計隨後發布的軟件更新中,將會修補相關瀏覽器內現存的Meltdown/Spectre 安全漏洞。
Source:Graz University of Technology、ezone.hk