引發科技界軒然大波的CPU漏洞發現者之一:年僅22歲的Google工程師

中央處理器(CPU)的「推測執行」(speculative execution)瑕疵在上周引起科技產業一陣騷動,讓處理器、作業系統及瀏覽器業者忙於修補,隨著該瑕疵一炮而紅的還有發現該瑕疵與創造相關概念性驗證程式的Google Project Zero團隊研究人員—他是今年只有22歲的Jann Horn。

此一瑕疵衍生出3個安全漏洞,將允許駭客存取虛擬記憶體中的資料,波及英特爾(Intel)、AMD與ARM的處理器產品,此一發現將從此改變處理器的設計。Horn除了是最早發現該瑕疵的安全研究人員之一以外,最常被引用的Spectre及Meltdown概念性驗證程式皆由Horn列名開發首位。

這名年輕人引起彭博社(Bloomberg)的注意,因而訪查他周遭的親友,並藉由電子郵件採訪了Horn。

根據報導,這是Horn「無心插柳柳成蔭」的成果。他在去年4月時開始閱讀英特爾處理器的操作手冊,以確定英特爾處理器能夠處理密集的數字運算,進而詳究處理器的「推測執行」功能,才發現事有蹊蹺,接著在6月1日提交給英特爾。

Horn並不是唯一發現該瑕疵的研究人員,然而,其他有同樣發現的都是「研究團隊」,而且已握有線索,只有Horn是單槍匹馬且從零到有地找到了這個被視為處理器史上最嚴重的安全缺失。

德國籍的Horn從小就展現了他的優異天份,他在高中時代就曾揭露學校電腦網路的安全問題,也曾與高中同學合作撰寫可預測與校正雙擺運動的程式,不到20歲的時候便破解了防毒軟體功能,因此被資安顧問公司Cure53相中並延攬,2016年時,因協助傳訊平台Cyph的安全稽核,而與Cyph執行長及安全顧問並列為相關專利的發明人。

Horn還透露,一直到去年12月初,英特爾才知會他有其他安全研究人員也提報了同樣的漏洞。

原文來自 iThome Online