在英特爾處理器被曝存在重大漏洞之后���,多家科技巨頭都在加緊采取措施�,解決相關(guān)問題。
這項(xiàng)漏洞非常嚴(yán)重�,只能在操作系統(tǒng)層面重寫內(nèi)核,所以���,英特爾必須與多家軟件公司合作解決問題����。在受影響的操作系統(tǒng)中��,Linux和macOS已經(jīng)在上月提供了補(bǔ)丁來解決這一問題���。而外界雖然預(yù)計(jì)微軟將在下周二的補(bǔ)丁日進(jìn)行系統(tǒng)更新��,但該公司還是在周三晚些時(shí)候緊急發(fā)布補(bǔ)丁�����。
去年底爆出管理引擎存在安全漏洞的風(fēng)波剛剛平息��,北京時(shí)間1月2日�,英特爾芯片存在嚴(yán)重安全漏洞的消息被科技媒體The
Register踢爆,英特爾幾乎滲透進(jìn)所有人生活的現(xiàn)實(shí)���,引得許多難明真相的業(yè)外群眾都跟著激動(dòng)。
雖然漏洞的具體情況還待證實(shí)���,但理論上�����,這次曝出的漏洞讓所有能訪問虛擬內(nèi)存的CPU都可能被人惡意訪問�,理應(yīng)受保護(hù)的密碼����、應(yīng)用程序密匙等重要信息因此面臨風(fēng)險(xiǎn)。今天早晨���,科技日?qǐng)?bào)記者收到的英特爾官方聲明強(qiáng)調(diào)�����,這些攻擊沒有可能損壞�����、修改或刪除數(shù)據(jù)�����。
據(jù)說英特爾和相關(guān)科技公司已完全了解了安全漏洞的工作機(jī)制�,正和包括AMD���、ARM和操作系統(tǒng)供應(yīng)商在內(nèi)的軟硬件小伙伴一起“開發(fā)一種適應(yīng)于全行業(yè)的方法”以“迅速并具有建設(shè)性地解決問題”���。
提前發(fā)聲明:喊冤+正視聽
原本英特爾和微軟、谷歌等計(jì)劃下周公開漏洞并給出解決方案�����,但是���,英特爾顯然對(duì)各種“隱瞞不報(bào)��、偷著修復(fù)”“性能大損失”“Intel
x86設(shè)計(jì)十年大BUG”等指責(zé)不能忍����,提前發(fā)表了聲明。
首先����,針對(duì)“該漏洞僅是Intel
x86-64處理器的設(shè)計(jì)BUG或缺陷”,英特爾得冤枉���,它在聲明中說:“媒體報(bào)道稱這一安全問題是由一處‘缺陷’引起的�,而且僅影響英特爾芯片的說法不正確�。基于目前分析�����,許多類型的計(jì)算設(shè)備(包括許多不同廠商的處理器和操作系統(tǒng))都容易受到這些漏洞的攻擊��?��!贝嗽挷患?,AMD��、ARM的服務(wù)器系統(tǒng)也遭波及����。
其次�����,一些報(bào)告認(rèn)為���,這個(gè)芯片級(jí)安全漏洞的修補(bǔ)程序并不完善,即使完成了修復(fù)�����,也會(huì)對(duì)性能造成嚴(yán)重影響�����?����!翱赡軐?dǎo)致5%到30%的性能下降”��,成為最廣泛流行的預(yù)測(cè)�。
英特爾的反駁翻譯成小白能懂的話就是:性能問題與工作負(fù)載強(qiáng)相關(guān)���,不能一概而論�����。對(duì)一般用戶來說���,影響并不顯著��,即便性能削弱���,也會(huì)隨著時(shí)間的推移得到緩解。
英特爾發(fā)布聲明后�����,AMD和ARM均表示將積極與合作伙伴防止安全漏洞出現(xiàn);谷歌Project
Zero安全團(tuán)隊(duì)第一時(shí)間站出來聲援Intel����,稱安卓等相關(guān)系統(tǒng)已經(jīng)得到修復(fù),可以抵御此次風(fēng)險(xiǎn)�。
針對(duì)科技日?qǐng)?bào)記者對(duì)此次漏洞的詢問,微軟發(fā)言人的回復(fù)應(yīng)該可以正視聽:“我們知悉這一有廣泛行業(yè)影響的問題����,并且一直在與芯片制造商保持密切的合作,開發(fā)和測(cè)試漏洞緩解措施�,以保護(hù)我們的客戶�����。我們正在對(duì)云計(jì)算服務(wù)部署安全緩解措施���,并于1月3日發(fā)布了安全更新以保護(hù)
Windows 客戶免受針對(duì)安全漏洞的惡意攻擊,這些漏洞影響包括來自英特爾����、AMD 和 ARM
等芯片廠商的硬件。目前�,我們暫未收到任何信息表明這些安全漏洞已經(jīng)被用于攻擊我們的用戶?����!?/p>
影響多大:一個(gè)都跑不掉
安全人員將此次爆出的兩個(gè)新漏洞命名為Meltdown(熔斷)和Spectre(幽靈)����,前者允許低權(quán)限��、用戶級(jí)別的應(yīng)用程序“越界”訪問系統(tǒng)級(jí)的內(nèi)存�����,后者則可以騙過安全檢查程序,使應(yīng)用程序訪問內(nèi)存的任意位置�����。
這可不是好事��。內(nèi)核的內(nèi)存空間含有各種各樣的秘密信息��,比如密碼��、登錄密鑰�����、來自磁盤的緩存文件等��,如果運(yùn)行的惡意軟件能夠嗅探內(nèi)核保護(hù)的敏感數(shù)據(jù)�����,后果不堪設(shè)想����。
實(shí)際上,這個(gè)漏洞是幾個(gè)月之前由谷歌的“Project
Zero”安全團(tuán)隊(duì)發(fā)現(xiàn)的,谷歌團(tuán)隊(duì)找到了三種方法讓惡意代碼去控制系統(tǒng)�,讓普通的用戶程序讀取出本應(yīng)受保護(hù)的內(nèi)容。雖然許多供應(yīng)商已經(jīng)開發(fā)了修補(bǔ)程序來防止攻擊�,但不幸的是,誰也不能同時(shí)解決這三個(gè)問題��。
雖然AMD稱自己的處理器基本免疫���,但Spectre漏洞的聯(lián)合發(fā)現(xiàn)者Daniel
Gruss(奧地利格拉茨技術(shù)大學(xué))稱���,他基于AMD處理器的Spectre代碼攻擊模擬相當(dāng)成功,顯然��,AMD也不能那么自信����。
因?yàn)槟壳吧形从腥魏我黄鹫鎸?shí)攻擊事件發(fā)生,所有的推演都來自于本地代碼模擬���,有人將該次漏洞事件理解為“看似很嚴(yán)重”�。但是�����,更多的人認(rèn)為��,用“致命打擊”來形容這次漏洞都不夸張���,不單只英特爾一家中招�,Windows�、Linux、macOS�����、亞馬遜AWS����、谷歌安卓系統(tǒng)均受到影響。一位博客名為Python
Sweetness的軟件開發(fā)人員發(fā)表的一篇文章被競(jìng)相轉(zhuǎn)載����,他在文中表示,這個(gè)“缺陷”將會(huì)對(duì)包括亞馬遜�����、微軟和谷歌在內(nèi)的云計(jì)算廠商帶來重大影響��。
他們均大量使用英特爾CPU、Linux系統(tǒng)����,服務(wù)器一旦遭到攻擊,所有的數(shù)據(jù)都將不再安全��。
并且�����,此次芯片級(jí)的漏洞并不容易解決��,遠(yuǎn)不是軟件修復(fù)層面可完成�,為消除在芯片層面的安全隱患,必須在操作系統(tǒng)上進(jìn)行修復(fù)��,或許�����,重新設(shè)計(jì)Linux內(nèi)核和Windows內(nèi)核已不可避免�����。
中研網(wǎng) 發(fā)現(xiàn)資訊的價(jià)值 
研究院 掌握產(chǎn)業(yè)最新情報(bào) 
英特爾芯片漏洞影響有多大? 幾乎滲透進(jìn)所有人生活的現(xiàn)實(shí) 
