日前���,主流CPU芯片被曝出兩組存在導致數(shù)據(jù)可能被黑客非法訪問的漏洞�����,所有計算機和智能系統(tǒng)�,包括桌面電腦���,筆記本��,云計算服務器和智能手機都受影響��。同時�,攻擊者可能利用瀏覽器腳本語言的某種特性實現(xiàn)遠程攻擊���,竊取用戶隱私數(shù)據(jù)���。對此,360瀏覽器1月5日更新9.1.0.400版本�,成為首款能夠防御該系列CPU漏洞的國產(chǎn)瀏覽器�。
利用難度高 瀏覽器是唯一遠程攻擊入口
360助理總裁���、首席安全工程師鄭文彬介紹����,CPU漏洞對于個人用戶和服務器用戶來說�,影響較小。大部分的漏洞攻擊需要在用戶系統(tǒng)上首先運行一個惡意程序�,但存在瀏覽器中借助JS腳本的某些特性實施攻擊的可能。瀏覽器成為遠程攻擊的唯一入口�,一旦有攻擊者利用CPU漏洞通過瀏覽器進行攻擊,用戶訪問惡意網(wǎng)址之后���,就可能面臨當前瀏覽的其他網(wǎng)頁的隱私數(shù)據(jù)如cookie等被惡意竊取的風險。
攻防相生 360瀏覽器國內(nèi)首家支持防御
鄭文彬介紹��,攻擊者可能在瀏覽器中借助JS腳本的某些特性來實現(xiàn)類似的攻擊方式����,繞過瀏覽器的站點隔離或頁面隔離,獲取其他站點的cookie或其他隱私數(shù)據(jù)��,實現(xiàn)遠程攻擊���。也就意味著���,在訪問一個惡意站點時�,可能其他訪問站點的cookie��、用戶密碼和隱私數(shù)據(jù)也會被竊取�����。
要封堵這項漏洞����,基本的思路還是針對訪問內(nèi)存、預測執(zhí)行功能動手�。360瀏覽器新版通過限制相關API和機制,防止黑客利用這系列CPU漏洞進行攻擊���,并且對用戶使用基本不會產(chǎn)生負面影響����,從而大幅度增加了黑客利用CPU漏洞的難度����,這樣黑客無法通過利用CPU漏洞竊取用戶隱私數(shù)據(jù)����。
影響大修補難 360首席安全工程師提防范建議
據(jù)了解��,本次英特爾等CPU兩組(三個)漏洞波及的面積非常廣泛����,1995年之后的每一個系統(tǒng)幾乎都會受到漏洞的影響。修復這些漏洞需要多方廠商一起協(xié)作進行深入修改���,才能徹底解決問題�����。
此外�����,一些“漏洞補丁會導致性能損失”的觀點引起了普通用戶的恐慌,鄭文彬介紹�����,“30%的性能損失是在比較極端的專門測試情況下出現(xiàn)的�����,通常的用戶使用情況下,尤其在用戶的電腦硬件較新的情況下(例如絕大部分在售的Mac電腦和筆記本)����,這些補丁的性能損失對用戶來說是幾乎可以忽略不計。”
鄭文彬建議�,
1.升級最新的操作系統(tǒng)和虛擬化軟件補丁:目前微軟、Linux�����、MacOSX、XEN等都推出了對應的系統(tǒng)補丁�����,升級后可以阻止這些漏洞被利用;
2.升級最新的瀏覽器補丁�����,使用最新版360瀏覽器防御漏洞;
3.等待或要求云服務商及時更新虛擬化系統(tǒng)補丁;
4.安裝360安全衛(wèi)士��、360手機衛(wèi)士等安全軟件����,殺毒軟件會在第一時間發(fā)現(xiàn)可能的利用這些漏洞的攻擊程序并進行殺除及防護。
360瀏覽器最新版下載地址:http://se.#/
京公網(wǎng)安備 11010502041587號