CPU漏洞事件持續發酵,除了亡羊補牢,還能怎樣?
文|李佳師
1月4日,國家資訊安全性漏洞共用平臺(CNVD)發佈安全公告,公告稱CPU存在Meltdown”(熔斷)漏洞以及Spectre (幽靈)漏洞,該漏洞存在於英特爾(Intel)x86-64的硬體中,在1995年以後生產的Intel處理器晶片都可能受到影響。
有業界專家稱,此CPU漏洞事件堪稱電腦史上最大安全事件,波及面之廣、中槍廠商之多、影響之大,史無前例。
從CNVD公佈的資訊來看,現代的電腦處理器晶片通常使用“推測執行”(speculative execution)和“分支預測”(Indirect Branch Prediction)技術實現對處理器計算資源的最大化利用。但由於這兩種技術在實現上存在安全缺陷,無法通過正確判斷將低許可權的應用程式訪存與內核高許可權的訪問分開,使得攻擊者可以繞過記憶體訪問的安全隔離邊界,
有評論稱,這應該是電腦體系結構發展史上的最大硬體漏洞,沒有之一。“熔斷”能夠直接洞穿了Intel和微軟Windows、linux、蘋果Mac OS共同設下的重重安全防護,“幽靈”能悄無聲息地穿透作業系統內核的自我保護,從用戶運行的空間裡讀取到作業系統內核空間的資料,在Intel/AMD/ARM這三大主流公司的CPU上都能起作用。因為漏洞難以通過軟體補丁修復也無法通過反病毒軟體對抗,
有人說此次事件影響之大、波及面之廣堪比幾年前的IT業界遭遇的“千年蟲”,但是當年的“前年蟲”是業界一起“捉蟲”。而這次的事件有明確的廠商指向,英特爾成為率先中槍者。
這幾天,英特爾公司在事件的風口浪尖上,
英特爾喊冤,因為其稱在接到穀歌的報告後就已經開始聯合上下游來解決此問題,
2018年1月4日,英特爾公告稱:“英特爾已經針對過去 5 年中推出的大多數處理器產品發佈了更新。到下週末,英特爾發佈的更新預計將覆蓋過去 5 年內推出的 90% 以上的處理器產品。”
其後,各路晶片廠商紛紛發聲。1月4日,IBM公佈這一漏洞對POWER系列處理器的潛在影響。1月5日ARM承認晶片存安全性漏洞,安卓iOS設備都有影響。1月5日,AMD發佈官方聲明,承認部分處理器存在安全性漏洞。1月5日,高通就晶片漏洞發聲,正在修復但未指明受影響晶片。
與此同時蘋果、微軟、阿裡雲、騰訊雲、百度雲、華為雲等廠商都發佈了修補漏洞的辦法。
這幾天業界出了各種段子:第一天是晶片“老大中槍”,排名第二的晶片廠商說,”這是老大的事,沒我什麼事”。一天后,“晶片老二”也發申明提供補丁。老三說是老二的事,沒我什麼事,第三天,晶片老三也發了補丁下載連結。
有評論認為,對於CPU漏洞,業界各廠商沒有事先公佈,這也說明了技術創新與反覆運算的規則正在被某種力量打破,這也暴露出一個更大的行業問題,是不是矽谷的創新精神正在走向沒落?
未來的影響?這一事件還在發酵。業界和消費者如何應對?
其一,從目前來看應該說這是一個現代計算晶片體系的問題,需要全產業鏈攜手解決。從目前來看。眼下,還沒有駭客們從這兩個漏洞中“得手”,利用漏洞作案仍有很高的門檻,但是畢竟漏洞已經暴露出來,各廠商應該聯合起來,找到更好的修補方案。目前看有一些修補方案存在影響性能及相容等問題,如何魚和熊掌兼得還需要廠商們努力。英特爾公司CEO在剛剛舉行的CES上表示,這些安全更新,預計針對某些工作負載下的性能會受到一些影響,英特爾會繼續與業界一起協作,逐步把這些工作負載的影響減少到最低。
其二使用者和業界需要知情權,業界需要更開放。英特爾在這個事件上的被動局面,看似偶然,其實也暴露了一個行業問題,在協同上下游及時解決問題的同時,究竟是選擇合適的時間公佈,還是一開始就讓全業界都知道,在問題頻發,道高一尺魔高一丈的今天,我們究竟是核心成員攜手解決問題還是更開放的思路實現資訊共用,更大範圍群策群力,需要業界重新思考。
其三,作為消費者,無論是PC還是手機以及雲的使用者都及時到設備所歸屬的CPU以及作業系統廠商官網及時下載補丁更新,防患於未然。
關注科技和科技公司的方法論,一起交流吧
2018年1月4日,英特爾公告稱:“英特爾已經針對過去 5 年中推出的大多數處理器產品發佈了更新。到下週末,英特爾發佈的更新預計將覆蓋過去 5 年內推出的 90% 以上的處理器產品。”
其後,各路晶片廠商紛紛發聲。1月4日,IBM公佈這一漏洞對POWER系列處理器的潛在影響。1月5日ARM承認晶片存安全性漏洞,安卓iOS設備都有影響。1月5日,AMD發佈官方聲明,承認部分處理器存在安全性漏洞。1月5日,高通就晶片漏洞發聲,正在修復但未指明受影響晶片。
與此同時蘋果、微軟、阿裡雲、騰訊雲、百度雲、華為雲等廠商都發佈了修補漏洞的辦法。
這幾天業界出了各種段子:第一天是晶片“老大中槍”,排名第二的晶片廠商說,”這是老大的事,沒我什麼事”。一天后,“晶片老二”也發申明提供補丁。老三說是老二的事,沒我什麼事,第三天,晶片老三也發了補丁下載連結。
有評論認為,對於CPU漏洞,業界各廠商沒有事先公佈,這也說明了技術創新與反覆運算的規則正在被某種力量打破,這也暴露出一個更大的行業問題,是不是矽谷的創新精神正在走向沒落?
未來的影響?這一事件還在發酵。業界和消費者如何應對?
其一,從目前來看應該說這是一個現代計算晶片體系的問題,需要全產業鏈攜手解決。從目前來看。眼下,還沒有駭客們從這兩個漏洞中“得手”,利用漏洞作案仍有很高的門檻,但是畢竟漏洞已經暴露出來,各廠商應該聯合起來,找到更好的修補方案。目前看有一些修補方案存在影響性能及相容等問題,如何魚和熊掌兼得還需要廠商們努力。英特爾公司CEO在剛剛舉行的CES上表示,這些安全更新,預計針對某些工作負載下的性能會受到一些影響,英特爾會繼續與業界一起協作,逐步把這些工作負載的影響減少到最低。
其二使用者和業界需要知情權,業界需要更開放。英特爾在這個事件上的被動局面,看似偶然,其實也暴露了一個行業問題,在協同上下游及時解決問題的同時,究竟是選擇合適的時間公佈,還是一開始就讓全業界都知道,在問題頻發,道高一尺魔高一丈的今天,我們究竟是核心成員攜手解決問題還是更開放的思路實現資訊共用,更大範圍群策群力,需要業界重新思考。
其三,作為消費者,無論是PC還是手機以及雲的使用者都及時到設備所歸屬的CPU以及作業系統廠商官網及時下載補丁更新,防患於未然。
關注科技和科技公司的方法論,一起交流吧