英特爾(Intel)披露了一個或導致數據被泄露給攻擊者的芯片漏洞。這凸顯出去年首次暴露出來的一種新型的現代芯片設計缺陷的風險。

安全研究人員警告稱，這個漏洞對云數據中心處理的信息構成的風險尤其大。許多大型企業和政府都依賴云數據中心來處理它們的部分運算需求。

這個問題被稱為“僵尸負載”(ZombieLoad)，2011年以后制造的所有英特爾芯片都存在該問題，盡管這家芯片制造商表示，其最新的微處理器已經在硬件層面上進行修復以避免該問題。較舊的芯片需要更新微碼以及芯片上運行的操作系統。

英特爾周二表示，“相對于攻擊者可以使用的其他手段而言”，利用這個漏洞可謂“極其復雜”，并且尚沒有報告稱攻擊者在利用該漏洞竊取數據。

這個漏洞“很難利用——但也很難修補。”Obsidian Security首席技術官本?約翰遜(Ben Johnson)表示，“這是我們硬件的基礎——是我們的云、我們的臺式機的基礎。”

在“僵尸負載”問題爆出前，去年初還披露了兩個普遍存在的芯片漏洞，分別名為“幽靈”(Spectre)和“熔毀”(Meltdown)。它們是新型的芯片設計缺陷的首批知名例子，這些缺陷使芯片容易受到攻擊。

該問題源于名為“預測執行”(speculative execution)的進程。在該進程中，芯片預測它們接下來將會收到的指令，在未收到程序請求的時候預先執行數據操作。

預測執行技術在所有現代電腦芯片的加速方面起到核心作用，但也可能為攻擊者打開大門——如果數據被推送到硬件系統的另一部分、從而可被攻擊者訪問的話。

如果修復“僵尸負載”問題會限制系統可同時處理的“線程”數量，一些電腦系統在修復后的速度可能會大幅變慢。

蘋果(Apple)是在本周二發布軟件更新的幾家公司之一。它表示，補丁“可能會使性能降低至多40%”。不過，去年發布修復“幽靈”和“熔毀”可能導致電腦性能下降的警告以后，并沒有出現大量關于電腦性能下降的報告。

研究人員表示，“僵尸負載”漏洞最有可能在電腦同時處理多任務的情況下被利用，因為一個程序泄露的數據可能會被另一個程序讀取。對云數據中心來說尤其如此。在云數據中心，利用一種被稱為“虛擬化”的技術，不同客戶的程序在同一臺電腦上運行。

約翰遜表示，“預測執行”漏洞泄露的數據不太可能遭到利用，除非是最堅決的攻擊者。攻擊者必須穿透硬件層面，然后從大量隨機信息中篩選出有用的信息。然而，他補充道，使用這種方式可以獲取零散的有用數據，如電腦加密密鑰。