安全研究人員在英特爾芯片中發(fā)現(xiàn)兩個關(guān)鍵漏洞，利用漏洞，攻擊者可以從App運行內(nèi)存中竊取數(shù)據(jù)，比如密碼管理器、瀏覽器、電子郵件、照片和文檔中的數(shù)據(jù)。

研究人員將兩個漏洞叫作“Meltdown”和“Spectre”，他們還說，1995年之后的每一個系統(tǒng)幾乎都會受到漏洞的影響，包括計算機和手機。研究人員在英特爾芯片上驗證了自己的發(fā)現(xiàn)，這些芯片最早可以追溯到2011年，隨后研究人員公布了概念驗證代碼，讓用戶在機器上測試。

發(fā)現(xiàn)Meltdown漏洞的安全研究人員丹尼爾·格魯斯（Daniel Gruss）在郵件中表示：“攻擊者也許有能力竊取系統(tǒng)中的任何數(shù)據(jù)。”研究報告則說：“利用Meltdown漏洞，攻擊者不只可以進入核心內(nèi)存，還可以讀取目標機器的所有物理內(nèi)存數(shù)據(jù)。”

Windows、Macs和Linux系統(tǒng)無一幸免，都受到漏洞的威脅。AMD在聲明中表示：“微處理器公司不同，給三大平臺造成的威脅也不同，三大平臺的反應(yīng)也會不同，在所有三大平臺上，AMD不易受到影響。因為架構(gòu)不同，我們深信，就目前來說AMD處理器的風(fēng)險幾乎為零。”ARM回應(yīng)媒體時表示，一些處理器受到影響，比如Cortex-A處理器。

在核心內(nèi)存（操作系統(tǒng)的核心）與低級用戶進程之間有一個隔離區(qū)，它將二者分開，但是新發(fā)現(xiàn)的兩個漏洞可以瓦解隔離區(qū)。Meltdown賦予攻擊者特權(quán)，設(shè)備一旦被感染，攻擊者可以訪問內(nèi)存中的一切數(shù)據(jù)，比如敏感文件和數(shù)據(jù)，因為他們可以越過安全邊界，這些安全邊界往往是由硬件把控的。Spectre可以欺騙App，竊取App中的機密信息。

在最糟糕的情況下，問題計算機上的低權(quán)限用戶可以在普通Web頁面上運行JavaScript代碼，然后就能入侵受保護的內(nèi)存，竊取信息。研究人員還說，到目前為止，還不知道是否有攻擊者已經(jīng)利用漏洞發(fā)起攻擊。

有許多云服務(wù)使用英特爾服務(wù)器，它們也會受到影響，正因如此，亞馬遜、微軟、谷歌已經(jīng)行動起來，給云服務(wù)打補丁，按計劃中斷服務(wù)，防止攻擊者竊取數(shù)據(jù)，攻擊者可能會在相同的共享云服務(wù)器上竊取其它數(shù)據(jù)。