日前��,主流CPU芯片被曝出兩組存在導(dǎo)致數(shù)據(jù)可能被黑客非法訪問的漏洞��,所有計算機和智能系統(tǒng),包括桌面電腦��,筆記本����,云計算服務(wù)器和智能手機都受影響。同時���,攻擊者可能利用瀏覽器腳本語言的某種特性實現(xiàn)遠程攻擊�,竊取用戶隱私數(shù)據(jù)��。對此�����,360瀏覽器1月5日更新9.1.0.400版本�,成為首款能夠防御該系列CPU漏洞的國產(chǎn)瀏覽器。
利用難度高 瀏覽器是唯一遠程攻擊入口
360助理總裁�����、首席安全工程師鄭文彬介紹���,CPU漏洞對于個人用戶和服務(wù)器用戶來說��,影響較小�。大部分的漏洞攻擊需要在用戶系統(tǒng)上首先運行一個惡意程序�,但存在瀏覽器中借助JS腳本的某些特性實施攻擊的可能。瀏覽器成為遠程攻擊的唯一入口�,一旦有攻擊者利用CPU漏洞通過瀏覽器進行攻擊,用戶訪問惡意網(wǎng)址之后��,就可能面臨當(dāng)前瀏覽的其他網(wǎng)頁的隱私數(shù)據(jù)如cookie等被惡意竊取的風(fēng)險�。
攻防相生 360瀏覽器國內(nèi)首家支持防御
鄭文彬介紹,攻擊者可能在瀏覽器中借助JS腳本的某些特性來實現(xiàn)類似的攻擊方式���,繞過瀏覽器的站點隔離或頁面隔離�,獲取其他站點的cookie或其他隱私數(shù)據(jù)���,實現(xiàn)遠程攻擊���。也就意味著,在訪問一個惡意站點時�,可能其他訪問站點的cookie、用戶密碼和隱私數(shù)據(jù)也會被竊取��。
要封堵這項漏洞�,基本的思路還是針對訪問內(nèi)存�����、預(yù)測執(zhí)行功能動手����。360瀏覽器新版通過限制相關(guān)API和機制����,防止黑客利用這系列CPU漏洞進行攻擊,并且對用戶使用基本不會產(chǎn)生負面影響����,從而大幅度增加了黑客利用CPU漏洞的難度,這樣黑客無法通過利用CPU漏洞竊取用戶隱私數(shù)據(jù)���。
影響大修補難 360首席安全工程師提防范建議
據(jù)了解��,本次英特爾等CPU兩組(三個)漏洞波及的面積非常廣泛���,1995年之后的每一個系統(tǒng)幾乎都會受到漏洞的影響。修復(fù)這些漏洞需要多方廠商一起協(xié)作進行深入修改��,才能徹底解決問題����。
此外,一些“漏洞補丁會導(dǎo)致性能損失”的觀點引起了普通用戶的恐慌���,鄭文彬介紹��,“30%的性能損失是在比較極端的專門測試情況下出現(xiàn)的�����,通常的用戶使用情況下��,尤其在用戶的電腦硬件較新的情況下(例如絕大部分在售的Mac電腦和筆記本)��,這些補丁的性能損失對用戶來說是幾乎可以忽略不計����。”
鄭文彬建議��,
1.升級最新的操作系統(tǒng)和虛擬化軟件補���。耗壳拔④��、Linux����、MacOSX、XEN等都推出了對應(yīng)的系統(tǒng)補丁���,升級后可以阻止這些漏洞被利用;
2.升級最新的瀏覽器補丁����,使用最新版360瀏覽器防御漏洞;
3.等待或要求云服務(wù)商及時更新虛擬化系統(tǒng)補丁;
4.安裝360安全衛(wèi)士�����、360手機衛(wèi)士等安全軟件��,殺毒軟件會在第一時間發(fā)現(xiàn)可能的利用這些漏洞的攻擊程序并進行殺除及防護����。
360瀏覽器最新版下載地址:http://se.#/
京公網(wǎng)安備 11010502041587號