現(xiàn)在這社會,各種“門”特別多,比如最近發(fā)生的英特爾“芯片門”。作為全球最大的個人計算機(jī)零件和CPU制造商,英特爾芯片被廣泛用于各種計算設(shè)備,比如個人電腦、服務(wù)器等等。
用美聯(lián)儲前主席格林斯潘的話比喻道,英特爾打個噴嚏,全球都會為之震動。
先來回顧這起事件:
2018年1月2日,美國石英財經(jīng)網(wǎng)站等媒體披露,英特爾公司芯片存在嚴(yán)重技術(shù)缺陷,引發(fā)全球用戶對信息安全的擔(dān)憂。專業(yè)人士指出,英特爾芯片缺陷的漏洞可能影響幾乎所有電腦和移動設(shè)備用戶的個人信息安全,受波及設(shè)備數(shù)以億計,漏洞的修補(bǔ)過程可能導(dǎo)致全球個人電腦性能明顯下降。
在這里,美國媒體針對這種技術(shù)缺陷,使用的是“嚴(yán)重”,這意味著可不是一般的漏洞。
除了英特爾芯片,AMD和ARM芯片也有一定程度的影響。而英特爾的芯片級設(shè)計漏洞導(dǎo)致Linux和Windows內(nèi)核的關(guān)鍵部分必須重新設(shè)計。
芯片與個人計算機(jī)的關(guān)系猶如大樓和地基,現(xiàn)在是大樓的地基出現(xiàn)了問題,因此后果可想而知。
這次,漏洞帶來的影響主要是:
1. 用戶級別權(quán)限的應(yīng)用可以利用此漏洞訪問到系統(tǒng)級別的內(nèi)存。說人話,一個普通程序,也有可能拿到你電腦里的各種敏感信息,比如各種賬號密碼等。
2. 該漏洞是由于芯片最初的設(shè)計造成的,補(bǔ)救方法只能通過操作系統(tǒng)級別的補(bǔ)丁來修復(fù)。所以,要及時安裝系統(tǒng)更新。
3. 系統(tǒng)補(bǔ)丁會對芯片性能帶來不少下降,目前的測試下來約為5%-30%。IO性能尤為明顯。
根據(jù)知乎樓宇的回答,谷歌Project Zero發(fā)布文章指出了Spectre和Meltdown兩種攻擊方式。其中,Meltdown影響了從2010年開始的生產(chǎn)的Intel芯片,漏洞的根本原因是“預(yù)測執(zhí)行”技術(shù)的設(shè)計缺陷,而 Spectre 則影響 Intel、AMD 和 ARM 處理器,還可以通過隱藏在網(wǎng)頁上的 JavaScript 代碼進(jìn)行遠(yuǎn)程利用。
各大廠商紛紛發(fā)布補(bǔ)丁
蘋果
1月9日,蘋果發(fā)布Spectre漏洞修復(fù)補(bǔ)丁,主要包括macOSHighSierra10.13.2 版本,iOS11.2.2 版本和Safari11.0.2 版本,針對的設(shè)備是智能手機(jī)、平板電腦和臺式電腦。
微軟
在漏洞曝光后,微軟很快發(fā)布了補(bǔ)丁,但有些用戶表示專門修復(fù)Meltdown和Spectre的Windows KB4056892 安全更新版本導(dǎo)致 AMD Athlon 驅(qū)動的計算機(jī)崩潰。
后來,微軟確認(rèn)補(bǔ)丁存在兼容性問題,現(xiàn)已緊急撤回。目前,微軟已經(jīng)停止了9個補(bǔ)丁向AMD平臺的分發(fā)工作(主要是Win10的KB4056892和Win7的KB4056894),正和AMD一道聯(lián)手解決。
英偉達(dá)
針對此次漏洞,英偉達(dá)發(fā)布其GPU顯示驅(qū)動和其他產(chǎn)品的更新,來解決CPU中Meltdown和Spectre帶來的漏洞問題。周二,NVIDIA向客戶通報 GPU 顯示驅(qū)動程序已經(jīng)更新,更新內(nèi)容包括針對 Specter 漏洞(特別是 CVE-2017-5753)的緩解措施。目前,NVIDIA 仍在確認(rèn) Specter 的第二個漏洞 CVE-2017-5715 是否會影響其 GPU 驅(qū)動程序。
IBM
IBM已經(jīng)開始發(fā)布其POWER處理器的固件補(bǔ)丁,以修復(fù)Meltdown和Spectre漏洞。在事件曝光后,IBM表示其POWER處理器受到影響,客戶只有安裝固件和操作系統(tǒng)補(bǔ)丁,才能讓Power Systems服務(wù)器系統(tǒng)產(chǎn)品免受攻擊。
此外,IBM 還將針對自己的操作系統(tǒng)(AIX和IBM i)進(jìn)行更新,但預(yù)計下個月(2 月 12 日左右)才能發(fā)布補(bǔ)丁。
IBM表示:“如果這個漏洞對用戶的計算機(jī)環(huán)境構(gòu)成風(fēng)險,那么可以采取的第一個防護(hù)措施其實是大多數(shù)組織已經(jīng)擁有的防火墻和安全工具。
芯片漏洞修復(fù)沒那么簡單
實際上,雖然各大廠商很快發(fā)布各種補(bǔ)丁,但是芯片漏洞修復(fù)沒那么簡單。
在披露漏洞之后,Google 表示目前已經(jīng)發(fā)布的軟件修復(fù)程序“造成的性能影響程度最低”,并堅稱隨著時間的推移,補(bǔ)丁對性能的影響還會減輕。而英特爾也在聲明中表示:“任何性能影響都取決于工作負(fù)載。對于一般的計算機(jī)用戶來說,補(bǔ)丁對性能的影響并不明顯,且隨著時間的推移也會減輕”。
比如,美國紅帽公司已經(jīng)將補(bǔ)丁對性能的影響范圍設(shè)置為 1% 到 20%。而Epic Games也在上周五針對最近玩家登錄中遇到的問題和服務(wù)器穩(wěn)定性問題做出了解釋:我們所有的云服務(wù)都因為打補(bǔ)丁、修復(fù) Meltdown 和 Spectre 而受到影響。
在 Reddit 上,一名 Monero 挖礦工人反饋顯示,在應(yīng)用 Meltdown 補(bǔ)丁之后,性能下降了大約 45%?;?AWS 服務(wù)器的 Quora 網(wǎng)站表示,由于 AWS 使用了英特爾發(fā)布的 Meltdown 與 Spectre 漏洞補(bǔ)丁,目前服務(wù)器已經(jīng)減速。
而根據(jù)外媒The Next Platform估計,CPU減速帶來的計算價值損失高達(dá)每年60億美元。
因未有確定性的研究結(jié)果,很多企業(yè)擔(dān)心修復(fù)芯片漏洞可能拖慢電腦運(yùn)行速度,甚至導(dǎo)致電腦系統(tǒng)崩潰,因此決定暫緩安裝軟件補(bǔ)丁。