中新網1月5日電 日前,主流CPU晶片被曝出兩組存在導致數據可能被黑客非法訪問的漏洞,所有計算機和智能系統,包括桌面電腦,筆記本,雲計算伺服器和智慧型手機都受影響。同時,攻擊者可能利用瀏覽器腳本語言的某種特性實現遠程攻擊,竊取用戶隱私數據。對此,360瀏覽器1月5日更新9.1.0.400版本,成為首款能夠防禦該系列CPU漏洞的國產瀏覽器。
利用難度高 瀏覽器是唯一遠程攻擊入口
360助理總裁、首席安全工程師鄭文彬介紹,CPU漏洞對於個人用戶和伺服器用戶來說,影響較小。大部分的漏洞攻擊需要在用戶系統上首先運行一個惡意程序,但存在瀏覽器中藉助JS腳本的某些特性實施攻擊的可能。瀏覽器成為遠程攻擊的唯一入口,一旦有攻擊者利用CPU漏洞通過瀏覽器進行攻擊,用戶訪問惡意網址之後,就可能面臨當前瀏覽的其他網頁的隱私數據如cookie等被惡意竊取的風險。
攻防相生 360瀏覽器國內首家支持防禦
鄭文彬介紹,攻擊者可能在瀏覽器中藉助JS腳本的某些特性來實現類似的攻擊方式,繞過瀏覽器的站點隔離或頁面隔離,獲取其他站點的 cookie或其他隱私數據,實現遠程攻擊。也就意味著,在訪問一個惡意站點時,可能其他訪問站點的cookie、用戶密碼和隱私數據也會被竊取。
要封堵這項漏洞,基本的思路還是針對訪問內存、預測執行功能動手。360瀏覽器新版通過限制相關API和機制,防止黑客利用這系列CPU漏洞進行攻擊,並且對用戶使用基本不會產生負面影響,從而大幅度增加了黑客利用CPU漏洞的難度,這樣黑客無法通過利用CPU漏洞竊取用戶隱私數據。
影響大修補難 360首席安全工程師提防範建議
據了解,本次英特爾等CPU兩組(三個)漏洞波及的面積非常廣泛,1995年之後的每一個系統幾乎都會受到漏洞的影響。修復這些漏洞需要多方廠商一起協作進行深入修改,才能徹底解決問題。
此外,一些「漏洞補丁會導致性能損失」的觀點引起了普通用戶的恐慌,鄭文彬介紹,「30%的性能損失是在比較極端的專門測試情況下出現的,通常的用戶使用情況下,尤其在用戶的電腦硬體較新的情況下(例如絕大部分在售的Mac電腦和筆記本),這些補丁的性能損失對用戶來說是幾乎可以忽略不計。」
鄭文彬建議,
1.升級最新的作業系統和虛擬化軟體補丁:目前微軟、Linux、MacOSX、XEN等都推出了對應的系統補丁,升級後可以阻止這些漏洞被利用;
2.升級最新的瀏覽器補丁,使用最新版360瀏覽器防禦漏洞;
3.等待或要求雲服務商及時更新虛擬化系統補丁;
4.安裝360安全衛士、360手機衛士等安全軟體,殺毒軟體會在第一時間發現可能的利用這些漏洞的攻擊程序並進行殺除及防護。