【翻墙问答】 处理器「推测执行」有漏洞 VPN等翻墙服务都受影响

2018-01-05
电邮
评论
分享
打印
  • 打印
  • 分享
  • 评论
  • 电邮
【翻墙问答】处理器「推测执行」有漏洞  VPN等翻墙服务都受影响(粤语部制图)
【翻墙问答】处理器「推测执行」有漏洞 VPN等翻墙服务都受影响(粤语部制图)

【翻墙问答】处理器「推测执行」有漏洞 VPN等翻墙服务都受影响

问︰最近,无论英特尔、AMD,甚至苹果和高通公司的处理器,都有一个叫推测执行的漏洞,会令黑客可以在记忆体内偷取密码等机密资料,虽然未有黑客正式利用这个漏洞偷资料,但已引起社会广泛注意,到底是怎样一回事?

李建军︰要了解这个漏洞,首先要知道甚么叫推测执行,就是中央处理器为了加快程式执行速度,会对记忆体内所有不同程式作出评估,然后再作资源安排和排序。这个是现代所有中央处理器加快运算速度的手法,而这个过程之中,由于记忆体保护有漏洞,连在处理器内一些未经加密资料,例如密码都可以暴露于第三者,黑客就可以利用这途径偷到资料,甚至黑客只要安装一些恶意程式,就达到偷资料的目标。

谷歌公司的研究人员发现这漏洞在理论上的可能性,纵使未有黑客成功利用漏洞,但都向英特尔、苹果等公司作出通报,希望透过软件上的修正堵塞漏洞,避免最终变成用户个人私隐和安全上的灾难。

问︰那更换、更新的硬件,例如新的手机,又能否解决问题?

李建军︰过往这类涉及硬件的漏洞,我们一般都建议更换硬件去解决问题,但这次推测执行漏洞就不可能这样做,因为推测执行几乎是现代所有中央处理器的必备功能,只有一些极慢和极旧的中央处理器,才没有推测执行的设计,因此才会令这个漏洞不单在英特尔处理器上出现,同时在AMD以及使用英国ARM公司设计的手机处理器上出现,几乎人人有份。现时唯一可行的解决方案,就是等待各大作业系统开发公司更新作业系统,用软件方式堵塞漏洞。

问︰这次推测执行漏洞,不单涉及手机以及个人电脑,更同时波及VPN、Shadowsocks等翻墙服务,因为不少VPN公司或Shadowsocks都是建基于大型云端服务公司的主机之上。那VPN和Shadowsocks又是否仍然安全?

李建军︰这个问题,必须问你所属的VPN公司或VPS公司,如果你的私家VPN或Shadowsocks主机是在Amazon Web Services海外主机建立的话,Amazon基本上已经完成相关修复,你只要更新你的EC2个体作业系统即可。而大部分VPS,例如Linode或DigitalOcean这些大公司,都可以透过更新作业系统解决问题。

问︰有研究人员表示,推测执行漏洞可以透过浏览器进行,那浏览器有否相应更新,去防止有人利用浏览器偷取密码?又可怎样做才有效防止密码被偷呢?

李建军︰无论Chrome、Safari还是Firefox都会提供相应的更新版本,基本上,在Mac,只要你十二月有作出更新,有部分漏洞已经修补了。但如果有新的更新,仍请你尽快更新,特别是Safari的更新。而Firefox亦已经开始更新,Chrome就等到1月23日才推出更新。这段时间,你可以先多使用Firefox。

只不过,Chrome就算未更新,透过设定Site Isolation,都可以有效防止黑客利用推测执行漏洞,透过浏览器来偷资料。这次翻墙问答,我准备了视频,示范如何在Chrome上设定Site Isolation,欢迎各位听众浏览本台网站,收看有关视频。当你设定Site Isolation之后,你可以在Chrome上浏览,而不用担心黑客可以利用漏洞来偷资料。但要注意的是,这项功能并不适用于Chrome浏览器的iOS版本,如果你用Chrome浏览器的iOS版本,你只有耐心等待1月23日的新版Chrome浏览器在App Store上出现。

完整网站