英特尔芯片漏洞波及甚广亡羊补牢效果待检

2018-01-17 08:51孙永杰
通信世界 2018年2期
关键词:补丁英特尔漏洞

本刊记者│孙永杰

目前,科技行业中讨论最热烈的事件就是由英特尔处理器设计缺陷引发的一系列漏洞,而作为2018年的首个大新闻,这次被曝出的芯片级漏洞波及范围之广、程度之深是业内始料未及的。

1月4日,国外安全研究机构公布了两组CPU漏洞:Meltdown(熔断)和Spectre(幽灵)。从目前披露的信息看,1995年以来大部分量产的处理器均有可能受上述漏洞的影响,且涉及大部分通用操作系统。虽然是英特尔为主,但ARM、AMD等大部分主流处理器芯片也受到漏洞影响。相应的,采用这些芯片的Windows、Linux、MacOS、Android等主流操作系统的电脑、平板电脑、手机、云服务器等终端设备也在其中。

英特尔首当其冲漏洞波及几乎所有架构芯片

此次被公布的漏洞是谷歌的 Project Zero 团队在去年发现的。这两个漏洞被称为Meltdown和Spectere,英特尔在电话会议上将其正式定名为“旁路分析利用”漏洞。这些漏洞允许恶意程序从其它程序的内存中窃取信息,这意味着恶意程序可以窃取密码、账户信息、加密密钥或理论上存储在进程中的任何内容。

其中,Meltdown可以影响英特尔的处理器,它打破了用户应用程序和操作系统之间最基本的隔离。这种攻击允许程序访问其它程序和操作系统的内存,很可能导致数据泄露。而Spectre除了影响英特尔的处理器外,还能影响 AMD 和 ARM 架构的处理器,也就是说,智能手机等设备也可能受到影响。

事实的确如此,继承认不安全的内存漏洞会影响数以百万计的英特尔处理器后,ARM近日也证实,许多Cortex系列处理器也存在漏洞,而众所周知的事实是,ARM的Cortex被用于各种各样的Android和iOS设备以及部分Nvidia Tegra产品、高通骁龙芯片以及索尼的PlayStation Vita上。

鉴于ARM Cortex技术被广泛授权应用于不同品牌的芯片,为此拿出受影响详尽设备清单几乎是不可能的。需要说明的是,目前还不清楚苹果的A系列芯片设计是否避免了这些漏洞,包括定制的Cortex芯片和后来苹果公司内部开发的处理器。

发布更新90%英特尔芯片漏洞已修复

面对上述漏洞,据悉,英特尔已经针对过去5年中推出的大多数处理器产品发布了更新。而在CES期间的专题演讲中,英特尔 CEO Brian Krzanich(科再奇)也就近段时间在全球掀起轩然大波的Meltdown和Spectre两个安全漏洞予以了回应。他表示,受影响的英特尔处理器产品,在本周内修复更新将覆盖到90%的近5年产品(上溯到2代或者3代酷睿),剩下的10%也会在1月底前修复。

至于业内担心的修复后芯片性能下降的说法,英特尔方面表示,这些更新对不同工作负载的性能影响会有不同。对于一般的计算机用户来说,影响并不显著,而且会随着时间的推移而减轻。虽然对于某些特定的工作负载,软件更新对性能的影响可能一开始相对较高,但采取进一步的后续优化,包括更新部署后的识别、测试和软件更新改进,应该可以减轻这种影响。系统更新程序可通过系统制造商、操作系统提供商和其他相关厂商获得。

对于此次事件,芯片业内人士告诉记者:“从整体事件前后发展来看,英特尔处理器存在安全漏洞是正常的,只不过专注这行的行业内部都知晓。这个漏洞至少在半年前就被英特尔、微软、谷歌等厂商知晓并在修复中,并且近期就会准备详细的漏洞报告和更新,英特尔没料到的是有媒体提前曝光了。”

“漏洞虽然可以通过系统OS层面的补丁修复,但是会影响性能,而解决问题的根本还是要升级处理器。”该业内人士补充道。

至于ARM架构处理器的漏洞,实际上,基于特定的芯片和操作系统,保护基于ARM技术的设备需要不同的方法。据相关报道,ARM正在指导Android和“其他操作系统”用户从其设备的操作系统提供商处寻找补丁,同时为Linux提供ARM开发的“软件措施”。谷歌已经发布了Android产品补丁,但其他Android设备正在等待供应商的补丁。苹果尚未公开说明哪些设备受到影响,也未公布共享的解决方案。如果iOS设备受到影响,苹果可能通过软件更新提供补丁,但其对性能的影响还不得而知。

猜你喜欢
补丁英特尔漏洞
漏洞
英特尔发布第三代英特尔至强可扩展处理器
英特尔携手一汽集团,引领汽车行业全新变革
健胃补丁
绣朵花儿当补丁
英特尔召回
三明:“两票制”堵住加价漏洞
漏洞在哪儿
关于补丁
高铁急救应补齐三漏洞