1月4日, 國家資訊安全性漏洞共用平臺(CNVD)發佈安全公告, 公告稱CPU存在Meltdown(熔斷)漏洞以及Spectre (幽靈)漏洞, 該漏洞存在於英特爾(Intel)x86-64的硬體中, 在1995年以後生產的Intel處理器晶片都可能受到影響。
有業界專家稱, 此CPU漏洞事件堪稱電腦史上最大安全事件, 波及面之廣、中槍廠商之多、影響之大, 史無前例。
現代計算晶片體系之過?
從CNVD公佈的資訊來看, 現代的電腦處理器晶片通常使用“推測執行”(speculative execution)和“分支預測”(Indirect Branch Prediction)技術實現對處理器計算資源的最大化利用。 但由於這兩種技術在實現上存在安全缺陷, 無法通過正確判斷將低許可權的應用程式訪存與內核高許可權的訪問分開,
有評論稱, 這應該是現代計算晶片體系發展史上的最大硬體漏洞, 沒有之一。 “熔斷”能夠直接洞穿了Intel和微軟Windows、linux、蘋果Mac OS共同設下的重重安全防護, “幽靈”能悄無聲息地穿透作業系統內核的自我保護, 從用戶運行的空間裡讀取到作業系統內核空間的資料, 在Intel/AMD/ARM這三大主流公司的CPU上都能起作用。 因為漏洞難以通過軟體補丁修復也無法通過反病毒軟體對抗, 加上這十幾年CPU出貨量之大, 涉及設備之多, 所以憂患陰霾幾乎籠罩在所有的IT設備和整個IT業界上。
業界發生什麼事?
有人說此次事件影響之大、波及面之廣堪比幾年前的IT業界遭遇的“千年蟲”,
這幾天, 英特爾公司在事件的風口浪尖上, 原因是2017年6月,谷歌Project Zero安全團隊發現了這一漏洞告知了英特爾以及其他幾家晶片生產商, 但他們都沒有向業界公佈, 直到2018年1月2日, 科技媒體The Register發表文章Kernel-memory-leaking Intel processor design flaw forces Linux, Windows redesign, 提前報導了這個問題。 1月3日, 英特爾公佈最新安全研究結果及英特爾產品說明, 公佈受影響的處理器產品清單。 於是所有矛頭指向英特爾, 因為知情不報, 直到被踢爆。
英特爾喊冤, 因為其稱在接到穀歌的報告後就已經開始聯合上下游來解決此問題, 因為問題難度之大, 超乎想像。 而且媒體在2017年下半年已經有報導“幾個月來英特爾以及其他科技公司和專家一直在努力解決這個問題”。
而消息人士透露, 因聯盟成員之間達成了保密協議, 延遲公開, 贏得時間研發解決方案, 確保公佈漏洞後能夠萬無一失。 原計劃為1月9日公佈, The Register的踢爆, 讓英特爾只好提前進行了系列公告。
2018年1月4日, 英特爾公告稱:“英特爾已經針對過去 5 年中推出的大多數處理器產品發佈了更新。 到下週末, 英特爾發佈的更新預計將覆蓋過去 5 年內推出的 90% 以上的處理器產品。
其後, 各路晶片廠商紛紛發聲。 1月4日, IBM公佈這一漏洞對POWER系列處理器的潛在影響。 1月5日ARM承認晶片存安全性漏洞, 安卓iOS設備都有影響。 1月5日, AMD發佈官方聲明, 承認部分處理器存在安全性漏洞。 1月5日, 高通就晶片漏洞發聲, 正在修復 但未指明受影響晶片。
與此同時蘋果、微軟、阿裡雲、騰訊雲、百度雲、華為雲等廠商都發佈了修補漏洞的辦法。
這幾天業界出了各種段子:第一天是晶片“老大中槍”, 排名第二的晶片廠商說, ”這是老大的事, 沒我什麼事”。 一天后, “晶片老二”也發申明提供補丁。 老三說是老二的事, 沒我什麼事, 第三天, 晶片老三也發了補丁下載連結。
有評論認為, 對於CPU漏洞, 業界各廠商沒有事先公佈, 這也說明了技術創新與反覆運算的規則正在被某種力量打破,這也暴露出一個更大的行業問題,是不是矽谷的創新精神正在走向沒落?
未來的影響?
這一事件還在發酵。業界和消費者如何應對?
其一,從目前來看應該說這是一個現代計算晶片體系問題,需要全產業鏈攜手解決。從目前來看。眼下,還沒有駭客們從這兩個漏洞中“得手”,利用漏洞作案仍有很高的門檻,但是畢竟漏洞已經暴露出來,各廠商應該聯合起來,找到更好的修補方案。目前看有一些修補方案存在影響性能以及相容性等問題,1月8日舉行的CES上表示,這些安全更新,預計針對某些工作負載下的性能會受到一些影響,英特爾會繼續與業界一起協作,逐步把這些工作負載的影響減少到最低。
其二,廠商們應該吸取教訓,使用者和業界需要知情權,業界需要更開放。英特爾在這個事件上的被動局面,看似偶然,其實也暴露了一個行業問題,在協同上下游及時解決問題的同時,究竟是選擇合適的時間公佈,還是一開始就讓全業界都知道,需要業界重新思考。在問題頻發,道高一尺魔高一丈的今天,我們究竟是核心成員攜手解決問題還是更開放的思路實現資訊共用,更大範圍群策群力,考驗業界的智慧。
其三,作為消費者,無論是PC還是手機以及雲的使用者都及時到設備所歸屬的CPU以及作業系統廠商官網及時下載補丁更新,防患於未然。
這也說明了技術創新與反覆運算的規則正在被某種力量打破,這也暴露出一個更大的行業問題,是不是矽谷的創新精神正在走向沒落?未來的影響?
這一事件還在發酵。業界和消費者如何應對?
其一,從目前來看應該說這是一個現代計算晶片體系問題,需要全產業鏈攜手解決。從目前來看。眼下,還沒有駭客們從這兩個漏洞中“得手”,利用漏洞作案仍有很高的門檻,但是畢竟漏洞已經暴露出來,各廠商應該聯合起來,找到更好的修補方案。目前看有一些修補方案存在影響性能以及相容性等問題,1月8日舉行的CES上表示,這些安全更新,預計針對某些工作負載下的性能會受到一些影響,英特爾會繼續與業界一起協作,逐步把這些工作負載的影響減少到最低。
其二,廠商們應該吸取教訓,使用者和業界需要知情權,業界需要更開放。英特爾在這個事件上的被動局面,看似偶然,其實也暴露了一個行業問題,在協同上下游及時解決問題的同時,究竟是選擇合適的時間公佈,還是一開始就讓全業界都知道,需要業界重新思考。在問題頻發,道高一尺魔高一丈的今天,我們究竟是核心成員攜手解決問題還是更開放的思路實現資訊共用,更大範圍群策群力,考驗業界的智慧。
其三,作為消費者,無論是PC還是手機以及雲的使用者都及時到設備所歸屬的CPU以及作業系統廠商官網及時下載補丁更新,防患於未然。