登录注册   忘记密码

英特尔再曝安全漏洞,只是犯了一个“所有处理器都会犯的错”?

英特尔处理器曝出安全危机。消息称一个漏洞导致本来单独用于保护密码等重要信息的存储区,可能会让一些软件程序获取权限,这使得过去十年间所有使用英特尔芯片的电脑都受到影响,即使修复,也可能导致30%到35%的性能下降……


北京时间1月4日凌晨,知名芯片厂商英特尔处理器曝出安全危机。消息称一个漏洞导致本来单独用于保护密码等重要信息的存储区,可能会让一些软件程序获取权限,这使得过去十年间所有使用英特尔芯片的电脑都受到影响,包括Windows、Linux和 苹果MacOS X操作系统。


当天上午, 英特尔针对此事发声,称媒体针对此事的报道并不准确,正与AMD、ARM及软件厂商合作解决此问题;另外其他公司的芯片也存在相同问题。


怼媒体:漏洞报道不准确

英特尔称,他们计划在下周推出更多的软件补丁时披露该漏洞,但由于媒体报道不准确,不得不在今天发表声明。


此事源于科技媒体The Register周二(1月2日)的一篇报道:英特尔的部分处理器有一个“根本性的设计缺陷”,导致本来单独用于保护密码等重要信息的存储区,可能会让一些软件程序获取权限。

892a405e-2c66-40e4-b319-3867316b3d7b.jpg

英特尔内核页面表漏洞(source: python sweetness)


亚马逊、微软和谷歌是三个受影响最深的云计算厂商,如果漏洞被利用,那么在同一物理空间的虚拟用户A可以任意访问到另一个虚拟用户B的数据,包括受保护的密码、应用程序密匙等。


过去十年间所有使用英特尔芯片的电脑都受到影响,涉及从数据中心应用程序到Java支撑的Web浏览器,操作系统则包括微软Windows、Linux和苹果的MacOS X。


消息传出后,英特尔股价一度下跌6%,致英特尔股价盘中创下1年多来最大跌幅,其对手AMD股价则一度上涨逾8.8%,英伟达也跳涨了6.3%。


这让英特尔不得不发出声明,他们说:最近媒体报道称这一安全问题是由一处‘缺陷’引起的,而且仅影响英特尔芯片的说法不正确。基于目前分析,许多类型的计算设备(包括许多不同厂商的处理器和操作系统)都容易受到这些漏洞的攻击。


另外,英特尔认为这些漏洞不具有破坏、修改或删除数据的潜力。


更新会不会影响性能?

英特尔已经开始提供软件和固件更新,以减轻这些漏洞。


但一些报告认为,这个芯片级安全漏洞的修补程序不是很完善,安成了修复,也会对性能造成严重的影响,“可能导致30%到35%的性能下降”,造成速度下降是由于处理器必须转储暂存的数据并重新加载存储器中的信息。


英特尔对这个言论也做了反驳,他们认为任何性能影响都由工作负载决定,对于一般用户来说,并不显著,并且会随着时间的推移得到缓解。


英特尔声称自己的产品是“世界上最安全的”,而且目前的修补程序为客户提供了“最好的安全措施”。他们建议用户尽快安装操作系统更新。 其他公司已经开始行动,苹果公司已在17年的12月6日64位macOS 10.13.2加入更新。微软也在对修正该问题的Windows更新包进行测试,预计将在下周二发布的补丁中对Windows系统作出必要调整。这些调整已经在去年11月和12月推送给了Windows Insider内部测试者。


据悉,这一芯片级漏洞问题无法通过微代码更新进行弥补,需要重新设计Windows、Linux内核系统,在系统层面的软件内进行修复。当然,土豪可以直接购买没有设计缺陷的新处理器。


拉队友:其他厂商芯片也受影响

英特尔表示,它正在与包括AMD、ARM和操作系统供应商在内的其他几家技术公司合作,“开发一种适应于全行业的方法”,以便“迅速并具有建设性地解决问题”。


在英特尔的发声之后,AMD和ARM也接连出来发表声明,两家都表示积极跟自己的硅谷伙伴们合作防止安全漏洞出现,但言辞中均没明确承认自己的新品有缺陷。 AMD认为,由于架构的差异,AMD处理器“几乎是零风险”,具体的安全研究将在今天晚些时候公布。

ab3b9e54-86a6-4e54-9542-5d39d1cf87a8.jpg

AMD安全内存加密技术应用在EPYC服务器CPU中


ARM则说:我们一直在与英特尔和AMD合作,解决安全问题;我们Cortex-A9处理器在低功耗、联网的物联网设备中无处不在,它们没有受到影响。


在去年英特尔也曾被曝出,其处理器产品存在安全漏洞,英特尔方面承认这一漏洞并及时发布固件修复(参考阅读)。如今每个人的生活都离不开网络,信息安全问题越来越受到人们关注,然而就像世界上没有不透风的墙,也没有百分之百安全的软硬件系统。只要有黑客恶意攻击,任何系统都能被找出漏洞,这也是为什么苹果早些年花大价钱招揽“iOS系统越狱”团队、处理器和操作系统厂商支持举办“白帽”黑客大会以发现自家产品漏洞——有能力者为你所用就是好事。


附:英特尔声明全文

英特尔和其他科技公司已经了解了新的安全研究结果,其中描述了一些软件分析方法。一旦遭到恶意使用,这些方法就有可能地从正常运转的计算设备中不当收集敏感数据。英特尔认为这些漏洞不会破坏、修改或删除数据。


最近有报道称,这些漏洞是由专属于英特尔产品的“漏洞”或“缺陷”造成的。这种说法并不正确。从目前为止的分析来看,许多类型的计算设备(包括采用许多不同供应商提供的处理器和操作系统的设备)都很容易受到这些问题的影响。


英特尔致力于提升产品和客户的安全,并与包括AMD、ARM和多家操作系统供应商在内的许多其他科技公司密切合作,以开发一种全行业的方法来迅速而有建设性地解决这个问题。英特尔已经开始提供软件和固件升级,以减轻这些漏洞的影响。与一些报告相反,任何性能影响都取决于工作负载,对于普通的计算机用户来说,感受应该并不明显,而且会随着时间的推移而减轻。


因特尔致力于以业内最负责任的做法来披露潜在安全问题,这也是英特尔与其他供应商计划在下周公布更多的软件和固件更新的原因。然而,由于目前的媒体报道不够准确,所以英特尔公司选择在今天发表这一声明。


请与您的操作系统供应商或系统制造商联系,并尽快使用任何可用的更新。遵循良好的安全习惯,全面防范恶意软件,也有助于在获得更新之前防止可能出现的问题。 英特尔相信,我们的产品是世界上最安全的产品,而在合作伙伴的支持下,目前针对该问题出台的解决方案也为客户提供了最好的安全保障。

您的评论:

0

用户评价

  • 暂无评论