【翻牆問答】 處理器「推測執行」有漏洞 VPN等翻牆服務都受影響


2018-01-05
Share
0105-Firewall-speculative620.jpg 【翻牆問答】處理器「推測執行」有漏洞 VPN等翻牆服務都受影響(粵語部製圖)

【翻牆問答】處理器「推測執行」有漏洞 VPN等翻牆服務都受影響

問︰最近,無論英特爾、AMD,甚至蘋果和高通公司的處理器,都有一個叫推測執行的漏洞,會令黑客可以在記憶體內偷取密碼等機密資料,雖然未有黑客正式利用這個漏洞偷資料,但已引起社會廣泛注意,到底是怎樣一回事?

李建軍︰要了解這個漏洞,首先要知道甚麼叫推測執行,就是中央處理器為了加快程式執行速度,會對記憶體內所有不同程式作出評估,然後再作資源安排和排序。這個是現代所有中央處理器加快運算速度的手法,而這個過程之中,由於記憶體保護有漏洞,連在處理器內一些未經加密資料,例如密碼都可以暴露於第三者,黑客就可以利用這途徑偷到資料,甚至黑客只要安裝一些惡意程式,就達到偷資料的目標。

谷歌公司的研究人員發現這漏洞在理論上的可能性,縱使未有黑客成功利用漏洞,但都向英特爾、蘋果等公司作出通報,希望透過軟件上的修正堵塞漏洞,避免最終變成用戶個人私隱和安全上的災難。

問︰那更換、更新的硬件,例如新的手機,又能否解決問題?

李建軍︰過往這類涉及硬件的漏洞,我們一般都建議更換硬件去解決問題,但這次推測執行漏洞就不可能這樣做,因為推測執行幾乎是現代所有中央處理器的必備功能,只有一些極慢和極舊的中央處理器,才沒有推測執行的設計,因此才會令這個漏洞不單在英特爾處理器上出現,同時在AMD以及使用英國ARM公司設計的手機處理器上出現,幾乎人人有份。現時唯一可行的解決方案,就是等待各大作業系統開發公司更新作業系統,用軟件方式堵塞漏洞。

問︰這次推測執行漏洞,不單涉及手機以及個人電腦,更同時波及VPN、Shadowsocks等翻牆服務,因為不少VPN公司或Shadowsocks都是建基於大型雲端服務公司的主機之上。那VPN和Shadowsocks又是否仍然安全?

李建軍︰這個問題,必須問你所屬的VPN公司或VPS公司,如果你的私家VPN或Shadowsocks主機是在Amazon Web Services海外主機建立的話,Amazon基本上已經完成相關修復,你只要更新你的EC2個體作業系統即可。而大部分VPS,例如Linode或DigitalOcean這些大公司,都可以透過更新作業系統解決問題。

問︰有研究人員表示,推測執行漏洞可以透過瀏覽器進行,那瀏覽器有否相應更新,去防止有人利用瀏覽器偷取密碼?又可怎樣做才有效防止密碼被偷呢?

李建軍︰無論Chrome、Safari還是Firefox都會提供相應的更新版本,基本上,在Mac,只要你十二月有作出更新,有部分漏洞已經修補了。但如果有新的更新,仍請你儘快更新,特別是Safari的更新。而Firefox亦已經開始更新,Chrome就等到1月23日才推出更新。這段時間,你可以先多使用Firefox。

只不過,Chrome就算未更新,透過設定Site Isolation,都可以有效防止黑客利用推測執行漏洞,透過瀏覽器來偷資料。這次翻牆問答,我準備了視頻,示範如何在Chrome上設定Site Isolation,歡迎各位聽眾瀏覽本台網站,收看有關視頻。當你設定Site Isolation之後,你可以在Chrome上瀏覽,而不用擔心黑客可以利用漏洞來偷資料。但要注意的是,這項功能並不適用於Chrome瀏覽器的iOS版本,如果你用Chrome瀏覽器的iOS版本,你只有耐心等待1月23日的新版Chrome瀏覽器在App Store上出現。

Edge及Safari用戶可直接點擊收聽
其他瀏覽器用戶請點此下載播放插件

新增評論

請將評論填寫在如下表格中。 評論必須符合自由亞洲電台的 《使用條款》並經管理員通過後方能顯示。因此,評論將不會在您提交後即時出現。自由亞洲電台對網友評論的內容不負任何責任。敬請各位尊重他人觀點並嚴守事實。