【綜合報道】全球第二大晶片製造商英特爾(Intel)、美國超微半導體(AMD)和英國安謀(ARM)生產的中央處理器(CPU)被揭有嚴重保安漏洞，令黑客可以利用漏洞取得重要資料。雖然目前未有入侵報告，但由於影響範圍或遍及過去10年生產、採用有關公司晶片的電腦產品及雲端伺服器，各科技公司急作補救。英特爾周三承認事件，但淡化影響。今次漏洞早在去年6月發現，英特爾原定下周才公開事件及發布修補程式，但有網站周二披露有關發現，令英特爾提前公布。

出事晶片橫跨10年

CPU是電腦最重要部分，所有資料運算時都會經過CPU的內核(kernel)，因此今次的漏洞較個別程式漏洞嚴重。專家這次發現一種名為Meltdown和兩種合稱Spectre的硬件設計漏洞。這兩種漏洞分別利用了CPU的「亂序執行」(Out-of-order execution)機能與「分支預測」(Branch Prediction)機能，讓惡意程式碼可從中偷取資料。

Meltdown是相對易被利用的一個，嚴重性也大得多。正常來說，每個應用程式都是獨立的，不能看到其他程式的資料，但在Intel的處理器和ARM Cortex-A75中，因為亂序執行在處理資料時將所有程式混在一起，因此用特別編寫的程式碼，便可在指定位置，「偷取」其他程式的資料。由於這屬硬體設計瑕疵，因此無論哪種作業系統，只要使用1995年後的Intel處理器，都會受到影響。

Spectre則操作CPU的分支預測機能，欺騙受害的應用程式，將指定位置的資料放出來。

除了Intel， AMD和ARM處理器都有風險。專家稱，這漏洞較難利用，但同時亦較難處理。

修補程式恐減慢速度

英特爾為全球約80%桌上電腦、90%手機電腦提供CPU晶片，再加上AMD和ARM的產品，這次受影響裝置的數量難以估計。

今次漏洞早已在去年6月得悉。英特爾和Google本計劃下周才公布事件，結果提早至周三承認有保安漏洞。作業系統開發商已陸續提供修補程式，例如蘋果公司在去年12月，已為macOS和舊系統提供更新，微軟亦已經發布軟件更新。科技網站The Register稱，目前的修補方式是將內核資料搬離處理器，代價是電腦效能會下降，可能減速達30%。

CEO去年大舉出售股份惹質疑

雖然Google工程師稱有關漏洞影響所有處理器，但事件暫時影響英特爾最大。英特爾周三(3日)承認保安漏洞，但淡化影響，稱不構成危險，又指其他公司生產的處理器晶片和作業系統，亦可能出現漏洞。英特爾稱，不預期今次漏洞會導致巨額賠償。但有網站憂慮修補程式可能拖慢電腦表現。有傳媒稱，事件或引發集體訴訟。傳媒昨日更翻舊帳，稱英特爾行政總裁克爾扎尼奇去年11月，出售約64.4萬股英特爾股分，目前僅擁有稍為超出任行政總裁一職所需的法定最低持股量，而英特爾去年6月已知有關漏洞，質疑他是否得悉漏洞才出售股分。

同樣受到漏洞影響的AMD則發聲明，稱產品不受漏洞影響，相信出現保安漏洞的機會近乎零。ARM則表示會為Linux用戶提供修補方式。