據(jù)國外科技媒體The Register北京時間1月3日的報道,英特爾公司旗下處理器芯片的一個根本性設(shè)計缺陷,迫使Windows、Linux內(nèi)核需要進(jìn)行大規(guī)模重新設(shè)計,以解決芯片級安全漏洞。

不過,Windows、Linux的系統(tǒng)更新將會影響英特爾產(chǎn)品的性能,導(dǎo)致英特爾芯片速度放慢5%至30%。

據(jù)了解,Intel CPU漏洞問題衍生出來的安全事件已經(jīng)波及全球幾乎所有的手機、電腦、云計算產(chǎn)品,ARM確認(rèn) Cortex-A架構(gòu)中招。這一次由Intel服務(wù)器CPU產(chǎn)品誘發(fā)的安全事故現(xiàn)在規(guī)模正式擴大,確認(rèn)波及到ARM和AMD,也就是說,近二十年來生產(chǎn)的幾乎一切手機、電腦、云計算產(chǎn)品都在風(fēng)險之列。不過AMD表示從目前的研究來看,他們受影響最小,可視為零風(fēng)險。

安全人員將兩個新的漏洞命名為Meltdown(熔斷)和Spectre(幽靈),前者允許低權(quán)限、用戶級別的應(yīng)用程序“越界”訪問系統(tǒng)級的內(nèi)存,從而造成數(shù)據(jù)泄露。

1、哪些系統(tǒng)受影響?

Windows、Linux、macOS、亞馬遜AWS、谷歌安卓均中招。

2、除了Intel處理器,還波及哪些硬件?

ARM的Cortex-A架構(gòu)和AMD處理器。Cortex-A目前廣泛用于手機SoC平臺,包括高通、聯(lián)發(fā)科、三星等等。

雖然AMD稱基于谷歌研究的三種攻擊方式,自己的處理器基本免疫。但Spectre(幽靈)漏洞的聯(lián)合發(fā)現(xiàn)者Daniel Gruss(奧地利格拉茨技術(shù)大學(xué))稱,他基于AMD處理器的Spectre代碼攻擊模擬相當(dāng)成功,絕不能低估。

3、如何修復(fù)?

Intel建議關(guān)注后續(xù)的芯片組更新、主板BIOS更新,但首先,應(yīng)該把OS級別的補丁打上。

對于Meltdown漏洞:Linux已經(jīng)發(fā)布了KAISER、macOS從10.13.2予以了修復(fù)、谷歌號稱已經(jīng)修復(fù),Win10 Insider去年底修復(fù)、Win10秋季創(chuàng)意者更新今晨發(fā)布了KB4056892,將強制自動安裝。 亞馬遜也公布了指導(dǎo)方案。

對于難度更高的Spectre漏洞,目前仍在攻堅。

4、Windows 7/XP受影響不?

微軟承諾,將在下一個補丁日幫助Win7修復(fù),但是否惠及XP沒提。

5、打補丁性能受到影響?

研究者Gruss稱對此,他無法給出確切結(jié)論,但從Intel聲明的措辭中可以確認(rèn)會有性能損失。

福布斯稱,性能影響較大的是Intel 1995年到2013年的老處理器,最高可達(dá)50%,從Skylake這一代之后就幾乎察覺不到了。

6、那么這些漏洞造成什么損失了?

由于兩個漏洞都是越級訪問系統(tǒng)級內(nèi)存,所以可能會造成受保護(hù)的密碼、敏感信息泄露。

但福布斯了解到,目前,尚未有任何一起真實世界攻擊,所有的推演都來自于本地代碼模擬。

所以,看似很嚴(yán)重但其實也可以理解為一次安全研究的勝利。研究者稱,漏洞要在個人電腦上激活需要依附與具體的進(jìn)程等,比如通過釣魚軟件等方式植入。

以下為英特爾聲明全文:

英特爾和其他技術(shù)公司對最近媒體報道的一項安全研究已經(jīng)了解。這一研究中描述的軟件分析方法,當(dāng)被用于惡意目的時,有可能從被操縱的計算設(shè)備中不當(dāng)?shù)厥占舾袛?shù)據(jù)。英特爾認(rèn)為,這些攻擊沒有可能損壞、修改或刪除數(shù)據(jù)。

最近的報道還稱,這些破壞是由“漏洞”或“缺陷”造成的,并且是英特爾產(chǎn)品所獨有的——這是不正確的。根據(jù)迄今的分析,許多類型的計算設(shè)備(有來自許多不同供應(yīng)商的處理器和操作系統(tǒng))都會容易受到類似攻擊。

英特爾致力于為產(chǎn)品和客戶安全提供保障,并與許多其他技術(shù)公司(包括 AMD、ARM 控股和多個操作系統(tǒng)供應(yīng)商)密切合作,以制定用于全行業(yè)的方法,迅速、有建設(shè)性地解決這一問題。英特爾已開始提供軟件和固件更新來抵御這些破壞。與某些報道中指出的恰恰相反,不同負(fù)載受影響程度不同。對于一般的計算機用戶來說影響并不顯著,而且會隨著時間的推移而減輕。

英特爾致力于提供業(yè)界最佳實踐,負(fù)責(zé)任地披露潛在的安全問題,這就是英特爾和其他供應(yīng)商原本計劃在下周發(fā)布更多軟件和固件更新的原因。但由于當(dāng)前媒體不準(zhǔn)確的報道,英特爾今天特此發(fā)表聲明。

請與您的操作系統(tǒng)供應(yīng)商或系統(tǒng)制造商聯(lián)系,并盡快采納任何可用的更新。日常遵循抵御惡意軟件的安全操作,也有助于在應(yīng)用更新之前防止可能的破壞。

英特爾相信其產(chǎn)品在世界上是最安全的,并且在合作伙伴的支持下,當(dāng)前對這一問題的解決方案,能為客戶提供最佳的安全保障。

編輯點評:此次漏洞的最大受害者是數(shù)據(jù)中心以及企業(yè)用戶,普通消費者受影響有限,然而數(shù)據(jù)中心是Intel大單生意的主要來源,這次損失可慘重了。