英特爾等 3 大廠晶片存漏洞事件愈演愈烈,有媒體稱,事件或引發集體訴訟。更有媒體爆料,在漏洞消息曝光前,英特爾行政總裁疑渉嫌內線交易,在去年 11 月,出售約 64.4 萬股英特爾股分,目前僅擁有稍為超出任行政總裁一職所需的法定最低持股量。英特爾股價連兩天下跌,但超微上漲近 5%
《星島日報》報導,電腦保安專家發現,全球幾乎所有電腦使用的微處理器存有 2 大資訊安全漏洞,可讓駭客竊取電腦記憶體全部資料,受影響電腦數以 10 億計,內建英特爾 (INTC-US)、超微(AMD-US) 和安謀 (ARMH-US) 等晶片的電腦裝置,包括筆記簿型電腦、桌上型電腦、手機、平板電腦及互聯網伺服器等,幾乎無一倖免。
這 2 大漏洞分別為「熔毀」(Meltdown) 及「幽靈」(Spectre),駭客可利用這些漏洞從手機、個人電腦及雲端網絡伺服器等裝置盜走記憶體內容。暫未有證據顯示駭客利用有關漏洞竊取電腦記憶體數據。
「熔毀」漏洞影響英特爾 (Intel) 晶片,讓駭客得以繞過用戶應用程式和電腦記憶體之間的硬件障礙,駭客有可能因此而讀取到電腦記憶體,並盜走帳號和密碼等敏感資料。「幽靈」漏洞影響英特爾、AMD 和 ARM 晶片,讓駭客得以騙過應用程式,令應用程式偵測不到誤差,從而讀取機密資訊。
2 大漏洞由 Google 母公司 Alphabet 旗下 Google Project Zero 和來自多國的學界及業界研究人員共同發現。據報業界已留意到有關漏洞好幾個月。
專家表示,要修補「幽靈」漏洞可能需要將微處理器重新設計。至於「熔毀」漏洞則可透過修補程式補救,但電腦速度可能減低 30%。「熔毀」漏洞對英特爾生產的微處理器構成的影響尤其重大。
協助找出漏洞的奧地利格拉茨科技大學研究人員表示,雖然駭客透過漏洞發動網上攻擊可能有難度,但全球有數以 10 億計電腦受到影響。兩大保安漏洞實際上影響到市場上有供應的所有微處理器,包括用上 AMD 晶片的微處理器。
桌上型電腦中,約 8 成使用英特爾微處理器。英特爾及 ARM 堅稱,漏洞不是晶片設計有瑕疵,但將要求用戶下載修補軟件並更新作業系統,以修補漏洞。
英特爾行政總裁克爾扎尼奇說:「手機、個人電腦,全都將受到一些衝擊,但各產品受衝擊程度不一。」他還說,Google 研究人員「前陣子」告訴英特爾安全漏洞,英特爾已測試修補程式,將在下周推出。ARM 表示,修補程式已提供給合作夥伴,其中包括不少手機製造商。AMD 表示,相信 AMD 產品現時的風險近乎零。
英國獨立科技分析員戈爾德說:「真相並不是英特爾晶片出現瑕疵。只是一些研究人員發現有方法利用現存結構,進入電腦記憶體受保護區域並讀取一些數據,因此這 3 家公司共同討論補救措施。」
未有證據顯示駭客利用這 2 大保安漏洞竊取記憶體數據,可是電腦安全問題一旦公開,且用戶沒有安裝修補程序來堵塞漏洞的話,他們在使用電腦上會承受重大風險。
Google 在網誌貼文表示,已安裝安全更新軟件的 Android 手機受到保護,Nexus 和 Pixel 手機也一樣。Gmail 用戶無須採取額外保護措施,但已安裝 Google 作業系統的 Google 雲端服務用戶、Chromebook 筆電和 Chrome 瀏覽器使用者必須安裝更新。
微軟表示,受「熔毀」漏洞影響的桌上型電腦修補程式已經準備妥當,旗下 Azure 雲端商業服務多數已修復並受保護,一項視窗作業系統安全更新即將推出。蘋果也會為手提電腦及桌上型電腦提供更新。暫不清楚 iPhone 和 iPad 的作業系統 iOS 是否也面臨風險。
香港《明報》報導英特爾為全球約 80% 桌上電腦、90% 手機電腦提供 CPU 晶片,再加上 AMD 和 ARM 的產品,這次受影響裝置的數量難以估計。
整起事件英特爾影響最大。英特爾周三 (3 日) 承認保安漏洞,但淡化影響,稱不構成危險,又指其他公司生產的處理器晶片和作業系統,亦可能出現漏洞。
英特爾表示,不預期這次漏洞會導致巨額賠償。但有媒體稱,事件或引發集體訴訟。
被指同樣受到漏洞影響的 AMD 則發聲明,稱產品不受漏洞影響,相信出現保安漏洞的機會近乎零。ARM 則表示會為使用 Linux 的用戶提供修補方式。
另據 MarketWatch 報導,在漏洞消息曝光前,英特爾行政總裁克爾扎尼奇 (Brian Krzanich) 疑渉嫌內線交易,他在去年 11 月,出售約 64.4 萬股英特爾股分,目前僅擁有稍為超出任行政總裁一職所需的法定最低持股量,而英特爾去年 6 月已知有關漏洞,質疑他是否得悉漏洞才出售股分。
依據英特爾去年 11 月底送交美國證管會 (SEC) 的申報文件,科再奇已經售出數十萬股英特爾股票,這批持股是他先前已持有以及透過股票選擇權所獲得的。
值得注意的是,這次售股是依據 10b5-1 的交易計畫進行,得以免受 SEC 追溯內線交易。但申報資料也顯示,科再奇是在 10 月 30 售股的前 1 個月才設定交易計畫,但英特爾和其他晶片商早在 6 月 1 日便獲知「熔毀」及「幽靈」晶片漏洞消息。
晶片漏洞消息曝光後,英特爾 3 日盤中股價一度重挫 6.8%,但過去一年股價仍上漲近 25%。科再奇當初以每股 12.99 美元到 24.17 美元不等價格,取得 64.4 萬股,這回出售的加權平均股價是 44.05 美元。他另外還出售了一批以加權平均股價 44.56 美元持有的 54.5 萬股。
如今科再奇手頭的英特爾持股剩下 25 萬股,正好符合英特爾對執行長上任 5 年內至少須持有公司股票 25 萬股的最低門檻。