去年的時候，Google 旗下 Project Zero 團隊發(fā)現(xiàn)了一個由 CPU “ 預(yù)測執(zhí)行 ” 導(dǎo)致的嚴重安全漏洞，而它也是一項被大多數(shù)現(xiàn)代處理器使用的性能優(yōu)化方案。根據(jù)研究人員 Jann Horn 的演示，惡意攻擊者可借此讀取不該被它訪問到的系統(tǒng)內(nèi)存。某個未經(jīng)授權(quán)的一方，可能在系統(tǒng)內(nèi)存中讀取到一些敏感信息，比如密碼、加密密鑰、或者在應(yīng)用程序中打開的其它機密信息。

  測試還表明，在一臺虛擬機上發(fā)起的攻擊，甚至能夠訪問到主機的物理內(nèi)存。基于此，還可以獲取在同一主機上、不同虛擬機的內(nèi)存讀取訪問。

  該漏洞影響許多 CPU，包括來自英特爾、AMD、ARM 的芯片，以及搭配運行的設(shè)備和操作系統(tǒng)。在獲悉這種新型攻擊的第一時間，谷歌安全和產(chǎn)品開發(fā)團隊就積極動員了起來，以保護自家系統(tǒng)和用戶數(shù)據(jù)。

  萬幸的是，谷歌現(xiàn)已更新了系統(tǒng)和受影響的產(chǎn)品，可以防止這類新型攻擊。此外他們還與業(yè)內(nèi)的軟硬件制造商合作，幫助保護更廣泛的客戶，這些努力包括協(xié)作分析和開發(fā)新奇的緩解措施。

  受到該漏洞影響的 Google 產(chǎn)品、以及它們當前的狀態(tài)，可移步至這個頁面查看：

  https://support.google.com/faqs/answer/7622138

  鑒于這種攻擊類型相當新穎，Google 只列出了當前已知的攻擊方式和緩解措施。在某些情況下，用戶和客戶需要采取額外的步驟，才能確保他們已經(jīng)用上了受保護的版本。

  下面是當前已給出的產(chǎn)品清單：（未列出的 Google 產(chǎn)品需要用戶自行采取額外的保護措施）

  ● Android（請更新至最新的安全補丁）；

  ● Google Apps / G Suite（含 Gmail、日歷、網(wǎng)盤等）；

  ● Google Chrome（需采取部分額外措施）；

  ● Google Chrome OS（含 Chromebook）；

  ● Google Cloud Platform（需采取部分額外措施）；

  ● Google Home / Chromecast（無需采取額外措施）；

  ● Google Wifi / OnHub（無需采取額外措施）。