問︰最近，無論英特爾、AMD，甚至蘋果和高通公司的處理器，都有一個叫推測執行的漏洞，會令黑客可以在記憶體內偷取密碼等機密資料，雖然未有黑客正式利用這個漏洞偷資料，但已引起社會廣泛注意，到底是怎樣一回事？

李建軍︰要了解這個漏洞，首先要知道甚麼叫推測執行，就是中央處理器為了加快程式執行速度，會對記憶體內所有不同程式作出評估，然後再作資源安排和排序。這個是現代所有中央處理器加快運算速度的手法，而這個過程之中，由於記憶體保護有漏洞，連在處理器內一些未經加密資料，例如密碼都可以暴露于第三者，黑客就可以利用這途徑偷到資料，甚至黑客只要安裝一些惡意程式，就達到偷資料的目標。

谷歌公司的研究人員發現這漏洞在理論上的可能性，縱使未有黑客成功利用漏洞，但都向英特爾、蘋果等公司作出通報，希望透過軟體上的修正堵塞漏洞，避免最終變成用戶個人私隱和安全上的災難。

問︰那更換、更新的硬體，例如新的手機，又能否解決問題？

李建軍︰過往這類涉及硬體的漏洞，我們一般都建議更換硬體去解決問題，但這次推測執行漏洞就不可能這樣做，因為推測執行幾乎是現代所有中央處理器的必備功能，只有一些極慢和極舊的中央處理器，才沒有推測執行的設計，因此才會令這個漏洞不單在英特爾處理器上出現，同時在AMD以及使用英國ARM公司設計的手機處理器上出現，幾乎人人有份。現時唯一可行的解決方案，就是等待各大作業系統開發公司更新作業系統，用軟體方式堵塞漏洞。

問︰這次推測執行漏洞，不單涉及手機以及個人電腦，更同時波及VPN、Shadowsocks等翻牆服務，因為不少VPN公司或Shadowsocks都是建基於大型雲端服務公司的主機之上。那VPN和Shadowsocks又是否仍然安全？

李建軍︰這個問題，必須問你所屬的VPN公司或VPS公司，如果你的私家VPN或Shadowsocks主機是在Amazon Web Services海外主機建立的話，Amazon基本上已經完成相關修復，你只要更新你的EC2個體作業系統即可。而大部分VPS，例如Linode或DigitalOcean這些大公司，都可以透過更新作業系統解決問題。

問︰有研究人員表示，推測執行漏洞可以透過瀏覽器進行，那瀏覽器有否相應更新，去防止有人利用瀏覽器偷取密碼？又可怎樣做才有效防止密碼被偷呢？

李建軍︰無論Chrome、Safari還是Firefox都會提供相應的更新版本，基本上，在Mac，只要你十二月有作出更新，有部分漏洞已經修補了。但如果有新的更新，仍請你儘快更新，特別是Safari的更新。而Firefox亦已經開始更新，Chrome就等到1月23日才推出更新。這段時間，你可以先多使用Firefox。

只不過，Chrome就算未更新，透過設定Site Isolation，都可以有效防止黑客利用推測執行漏洞，透過瀏覽器來偷資料。這次翻牆問答，我準備了視頻，示範如何在Chrome上設定Site Isolation，歡迎各位聽眾瀏覽本台網站，收看有關視頻。當你設定Site Isolation之後，你可以在Chrome上瀏覽，而不用擔心黑客可以利用漏洞來偷資料。但要注意的是，這項功能並不適用於Chrome瀏覽器的iOS版本，如果你用Chrome瀏覽器的iOS版本，你只有耐心等待1月23日的新版Chrome瀏覽器在App Store上出現。

來源:RFA, 文章內容並不代表本網立場和觀點。

推薦安卓翻牆APP：SpeedUp VPN

• 【翻牆問答】Telegram與騰訊合作引資安私隱疑慮
• 【翻牆問答】港府用原始DNS污染欲封JPEX被網民一日破功
• 【翻牆問答】Cloudflare 1.1.1.1遭封 中國翻牆越來越難
• 【翻牆問答】汽車收集數據 小心車上言談行蹤被當局監控
• 【翻牆問答】海外智能手機配搭eSIM成新翻牆手段

• 🔥法國猶太老闆：神告訴我們，只有一位中國人能救人類
• 🔥華人必看：中華文化的颶風 幸福感無法描述
• 🔥解鎖ChatGPT|全平台高速翻牆:高清視頻秒開,超低延遲
• 🔥免費PC翻牆、安卓VPN翻牆APP

Android版SpeedUp VPN，基於ShadowsocksRb，與SSR和Shadowsocks協議兼容，內置免費SSR伺服器。 如果您對內置SSR VPN伺服器不滿意，則可以自行添加或導入任何SSR和Shadowsocks伺服器使用。

• Google Play下載：SpeedUp VPN
• Github下載：SpeedUp VPN