從“李小璐吃漢堡”看懂CPU漏洞是什么鬼

1月8日消息，近期李小璐事件霸占各大網(wǎng)站的話題榜，到底事實如何目前尚且不能確定，但根據(jù)諸多爆料來看，作為始作俑者的卓偉此次貌似又是“漁翁得利”，吃瓜群眾們則有的心疼亮亮，有的怒錘皮幾萬。不過，在圍觀明星八卦的同時，瓜友們也要當心自己會不會成為下一個“李小璐”。

就在1月4日，國外安全研究人員曝出了兩組英特爾CPU漏洞，可能影響幾乎所有的Intel系統(tǒng)，如果有黑客借此進行攻擊，將導致用戶信息泄露。看到這里，可能大部分讀者還覺得應該跟自己沒多大關系，但明白這個漏洞的原理之后，想必所有人都會脊背發(fā)涼。

據(jù)了解，這兩組漏洞利用了CPU運作機制中的推測執(zhí)行特性，可通過用戶層面應用從CPU內(nèi)存中讀取核心數(shù)據(jù)。在實際攻擊場景中，攻擊者在一定條件下可以泄露出本地操作系統(tǒng)中的底層運作信息，根據(jù)這些信息繞過內(nèi)核的隔離防護，還可以通過瀏覽器獲取用戶的相關隱私信息。

其實通俗來說就是，這兩個漏洞就像是隱藏在電腦深處的“狗仔”，你的一舉一動很有可能被“狗仔”拍下，并提供給“卓偉”——發(fā)出攻擊的黑客。有網(wǎng)友還給出了一個生動的比喻：李小璐被狗仔跟蹤，狗仔們想知道她的點餐信息，只要向服務員表示自己選擇和她一樣的東西，盡管服務員表示用戶信息要保密，還是有可能根據(jù)后廚對不同菜品的上餐速度判斷出李小璐的點餐信息。此次曝出的CPU漏洞就是這個原理，你的隱私可能就在不知不覺中泄露給了“狗仔”。

而此次曝光的漏洞，受影響的并非是小范圍用戶：不僅包括了Intel、AMD、ARM等用戶，甚至連微軟、蘋果、亞馬遜、Google等公司也被波及，全球所有桌面電腦、筆記本和服務器都處于這次漏洞帶來的安全危機之中，幾乎全球智能設備用戶都難逃此劫！

其中Intel CPU用戶首當其沖，因而Intel對此反應最為急切，此外，谷歌、微軟等公司也紛紛對產(chǎn)品進行了更新，并發(fā)布官方聲明稱，將與行業(yè)內(nèi)軟硬件合作，共同解決此次危機。與此同時，國內(nèi)安全廠商迅速也做出了相關防御措施。1月5日，360安全衛(wèi)士緊急推出“CPU漏洞免疫工具”，從漏洞修復及安全防護兩方面入手，阻斷漏洞入侵通道。1月8日，金山和騰訊等廠商也跟進推出相關的漏洞修復工具。

防御CPU漏洞攻擊最關鍵的一步在于及時打補丁。網(wǎng)傳“打補丁可致性能損耗30%”的說法鬧得人心惶惶，不過隨后這個說法被安全專家所否認，據(jù)了解，這只在實驗的極端情況下會出現(xiàn)，普通用戶打補丁所出現(xiàn)的性能損耗可以忽略不計。

一方面是可以忽略的損耗，一方面是隨時可能被泄露的隱私信息，孰輕孰重大家也都明白，總不至于為了硬件性能而甘愿當下一個被“狗仔”跟蹤偷拍的李小璐。

打補丁的重要性其實不需多言，想想2017年5月席卷全球的Wannacry勒索病毒，就是因為許多用戶、企業(yè)在NSA漏洞武器“永恒之藍”泄露之后，沒有及時打補丁修復漏洞，才讓不法分子有機可乘。而這次曝光的漏洞影響范圍之大，后續(xù)會發(fā)生怎樣的網(wǎng)絡恐怖事件尚未可知，希望所有用戶都提高警惕，及時修補漏洞更新系統(tǒng)，安裝安全軟件，養(yǎng)成良好的上網(wǎng)習慣，不要讓“永恒之藍”的悲劇再次上演。