日前, 主流CPU芯片被曝出两组存在导致数据可能被黑客非法访问的漏洞,所有计算机和智能系统,包括桌面电脑,笔记本,云计算服务器和智能手机都受影响。同时,攻击者可能利用浏览器脚本语言的某种特性实现远程攻击,窃取用户隐私数据。对此,360浏览器1月5日更新9.1.0.400版本,成为首款能够防御该系列CPU漏洞的国产浏览器。
利用难度高 浏览器是唯一远程攻击入口
360助理总裁、首席安全工程师郑文彬介绍,CPU漏洞对于个人用户和服务器用户来说,影响较小。大部分的漏洞攻击需要在用户系统上首先运行一个恶意程序,但存在浏览器中借助JS脚本的某些特性实施攻击的可能。浏览器成为远程攻击的唯一入口,一旦有攻击者利用CPU漏洞通过浏览器进行攻击,用户访问恶意网址之后,就可能面临当前浏览的其他网页的隐私数据如cookie等被恶意窃取的风险。
攻防相生 360浏览器国内首家支持防御
郑文彬介绍,攻击者可能在浏览器中借助JS脚本的某些特性来实现类似的攻击方式,绕过浏览器的站点隔离或页面隔离,获取其他站点的 cookie或其他隐私数据,实现远程攻击。也就意味着,在访问一个恶意站点时,可能其他访问站点的cookie、用户密码和隐私数据也会被窃取。
要封堵这项漏洞,基本的思路还是针对访问内存、预测执行功能动手。360浏览器新版通过限制相关API和机制,防止黑客利用这系列CPU漏洞进行攻击,并且对用户使用基本不会产生负面影响,从而大幅度增加了黑客利用CPU漏洞的难度,这样黑客无法通过利用CPU漏洞窃取用户隐私数据。
影响大修补难 360首席安全工程师提防范建议
据了解,本次英特尔等CPU两组(三个)漏洞波及的面积非常广泛,1995年之后的每一个系统几乎都会受到漏洞的影响。修复这些漏洞需要多方厂商一起协作进行深入修改,才能彻底解决问题。
此外,一些“漏洞补丁会导致性能损失”的观点引起了普通用户的恐慌,郑文彬介绍,“30%的性能损失是在比较极端的专门测试情况下出现的,通常的用户使用情况下,尤其在用户的电脑硬件较新的情况下(例如绝大部分在售的Mac电脑和笔记本),这些补丁的性能损失对用户来说是几乎可以忽略不计。”
郑文彬建议,
1.升级最新的操作系统和虚拟化软件补丁:目前微软、Linux、MacOSX、XEN等都推出了对应的系统补丁,升级后可以阻止这些漏洞被利用;
2.升级最新的浏览器补丁,使用最新版360浏览器防御漏洞;
3.等待或要求云服务商及时更新虚拟化系统补丁;
4.安装360安全卫士、360手机卫士等安全软件,杀毒软件会在第一时间发现可能的利用这些漏洞的攻击程序并进行杀除及防护。
