恶意网页成CPU漏洞攻击入口 360浏览器国内首家支持防护

本篇文章1096字，读完约3分钟

北京，1月5日(新华社)——几天前，两组主流cpu芯片被曝光，这导致数据被黑客非法访问。所有计算机和智能系统，包括台式计算机、笔记本电脑、云计算服务器和智能手机，都受到了影响。同时，攻击者可能利用浏览器脚本语言的某些特性来实现远程攻击，窃取用户的私人数据。在这方面，360浏览器于1月5日更新了版本9.1.0.400，成为国内第一款能够抵御这一系列cpu漏洞的浏览器。

困难重重的浏览器是唯一的远程攻击入口

360副总裁兼首席安全工程师郑表示，cpu漏洞对个人用户和服务器用户的影响较小。大多数漏洞攻击需要先在用户系统上运行恶意程序，但是浏览器有可能借助js脚本的某些特性进行攻击。浏览器成为远程攻击的唯一入口。一旦攻击者利用cpu漏洞通过浏览器进行攻击，用户可能会面临恶意窃取私人数据的风险，例如访问恶意URL后当前浏览的其他网页的cookie。

攻防360浏览器是中国第一款支持防御的浏览器

据郑介绍，攻击者可以利用浏览器中js脚本的某些特性来实现类似的攻击，绕过浏览器的站点隔离或页面隔离，获取其他站点的cookie或其他私有数据，实现远程攻击。这意味着当访问一个恶意站点时，cookie、用户密码和其他访问站点的私人数据也可能被窃取。

为了堵住这个漏洞，基本思想是访问内存并预测执行函数。新版本的360浏览器通过限制相关的API和机制来防止黑客利用这一系列的cpu漏洞，对用户的使用基本没有负面影响，从而大大增加了黑客利用cpu漏洞的难度，所以黑客不能利用cpu漏洞窃取用户的私人数据。

360总安全工程师警惕范建议

据了解，英特尔和其他中央处理器中的两组(三组)漏洞已经影响了广泛的领域，并且几乎1995年以后的每一个系统都将受到这些漏洞的影响。要修复这些漏洞，需要多厂商合作并进行深入修改，从而彻底解决问题。

此外，一些“漏洞补丁会导致性能损失”的观点在普通用户中引起了恐慌。郑说，“30%的性能损失发生在极端特殊的测试条件下。在正常的用户使用条件下，特别是当用户的计算机硬件相对较新时(如大多数销售的苹果电脑和笔记本电脑)，这些补丁的性能损失对用户来说几乎可以忽略不计。"

郑向建议道:

1.升级最新的操作系统和虚拟化软件补丁:目前有微软、linux、macosx、xen等。引入了相应的系统补丁，可以防止这些漏洞在升级后被利用；

2.升级最新的浏览器补丁，使用最新版本的360浏览器防御漏洞；

3.等待或要求云服务提供商及时更新虚拟化系统补丁；

4.安装360个保安、360个移动保安和其他安全软件，反病毒软件将在第一时间发现可能利用这些漏洞的攻击程序，并杀死和保护它们。

来源：搜狐微门户