據(jù)外媒報道，安全研究人員表示，影響所有Mac電腦以及Windows和Linux電腦的英特爾芯片安全漏洞仍然存在——盡管該芯片制造商聲稱已經(jīng)修復了這些漏洞。

　　類似的安全漏洞也曾出現(xiàn)在ARM處理器中，后來被修復�，F(xiàn)階段，沒有跡象表明ARM芯片中仍然存在這些問題。

　　英特爾CPU的“根本設計缺陷”去年被曝光，其中的安全漏洞被稱為“幽靈”(Spectre)和“熔毀”(Meltdown)。它們允許攻擊者查看內(nèi)核內(nèi)存中的數(shù)據(jù)，這些數(shù)據(jù)包括從緩存文檔到密碼等的任何內(nèi)容。

　　蘋果和微軟發(fā)布了基于英特爾修復程序的安全補丁。但安全研究人員表示，他們發(fā)現(xiàn)了該芯片制造商花了六個月時間修復的安全漏洞的其他變體，而且還有更多未被修復的漏洞仍然存在。

　　由于擔心英特爾誤導人們，這些安全研究人員現(xiàn)在決定公開他們發(fā)現(xiàn)的漏洞。

　　去年5月，英特爾針對安全研究人員在該公司計算機處理器中發(fā)現(xiàn)的安全漏洞發(fā)布了一系列安全補丁，并暗示所有問題都已解決。

　　但據(jù)荷蘭阿姆斯特丹自由大學的研究人員稱，這并不完全是真的。2018年9月，荷蘭研究人員發(fā)現(xiàn)了漏洞，并首次向這家科技巨頭報告了這些漏洞。但是，英特爾用于修復處理器漏洞的安全補丁僅解決了這些研究人員發(fā)現(xiàn)的部分問題。

　　來自英特爾的公開信息是“一切漏洞都已被修復。”荷蘭阿姆斯特丹自由大學的計算機科學教授、報告漏洞的研究人員之一克里斯蒂亞諾-朱弗里達(Cristiano Giuffrida)說，“我們知道這是不準確的。”

　　負責任的安全研究人員首先會私下向相關公司披露他們的發(fā)現(xiàn)。在通常情況下，這些公司有六個月的時間來解決相關漏洞，之后這些安全研究人員才會公開他們的發(fā)現(xiàn)。這樣做的效果通常很不錯，為硬件和軟件供應商提供了創(chuàng)建安全補丁的時間，公眾也被告知需要更新。

　　但荷蘭研究人員表示，英特爾一直在濫用這個過程。他們說，周二發(fā)布的新的安全補丁仍然無法修復他們在5月份提供給英特爾的另一個漏洞。

　　英特爾承認，五月份的安全補丁并沒有修復安全研究人員提交的所有漏洞。周二的安全補丁也沒有做到這一點。但該公司發(fā)言人利-羅森瓦爾德(Leigh Rosenwald)表示，它們“極大地降低了”黑客攻擊的風險。

　　安全研究人員表示，該團隊已經(jīng)給英特爾爭取了盡可能長的時間，現(xiàn)在他們認定，公開披露他們發(fā)現(xiàn)的漏洞是必要的。這樣做首先是為了讓英特爾感到羞愧，促使其采取更積極的行動，其次是因為相關漏洞的細節(jié)已經(jīng)開始泄露，這可能會讓不法分子有機可乘。

　　荷蘭安全研究人員對他們發(fā)現(xiàn)的問題保持了八個月的沉默。在此期間，英特爾開發(fā)了安全補丁，并在5月份發(fā)布。然后，在英特爾意識到其安全補丁并不能解決所有問題后，它要求安全研究人員再保持沉默六個月，而且還要求安全研究人員修改他們計劃在安全會議上提交的一篇論文，以避免提及任何未被修復的漏洞。研究人員表示，盡管他們很不情愿，但最終還是同意了，因為他們也不希望這些漏洞在沒有解決方案的情況下被公眾所知。

　　“我們不得不修改論文，遮人耳目，讓人們看不到其芯片有多么容易受到攻擊。”同為荷蘭阿姆斯特丹自由大學計算機科學教授的卡維-拉扎維(Kaveh Razavi)說。他也是報告這些漏洞的安全小組的一員。

　　安全研究人員說，在周二發(fā)布安全補丁之前，他們就告知了英特爾這些未被修復的漏洞。但該公司要求安全研究人員保持沉默，直到它能夠開發(fā)出另一個安全補丁。但這一次他們拒絕了。

　　“我們認為是時候直接告訴全世界：時至今日，英特爾也沒有解決這些漏洞。”赫伯特-博斯(Herbert Bos)說，他是朱弗里達和拉扎維在阿姆斯特丹自由大學的同事。

　　“任何人都可以利用英特爾芯片的安全漏洞來發(fā)起攻擊。如果你不真的公開，那就更糟了，因為會有人利用這一點來對付實際上沒有受到保護的用戶。”拉扎維說。(騰訊科技審校/樂學)