登录注册   忘记密码

Intel芯片设计漏洞引致重大安全问题

英特尔在3日爆出了芯片的安全漏洞问题,将可能造成资料外泄,并波及近十年来的产品。近年来,信息安全事件非常频繁并开始引起公众关心,所以这次英特尔的重大安全问题冲击相当大。但是此次的漏洞并没有简单的解决方法,可能需要召回相关产品,这将会造成非常大的损失。而这个问题,可想而知并非是今年才刚被发现,英特尔官方也表示,原本就打算要在1/9 公开,结果消息提前走漏。

32752704054_15cea1462d_k-624x416.jpg

虽然英特尔目前不断想淡化这些漏洞的冲击,并表示媒体过于夸大,也指称Spectre 漏洞不只英特尔一家有,还须与AMD 等厂商协调如何修复,所以进展比较缓慢,也并非有意隐瞒。


而目前的情况来看,英特尔CPU 独有的Meltdown 漏洞,可以通过更新修复,不过会降低效能,而Spectre 漏洞将波及至AMD 和ARM 等各家处理器,并意味着将影响现有绝大部分的设备,且更难被修复。不过AMD声明,其产品架构预设不允许引起漏洞的推测性执行(Speculative Execution),并没有那么严重的问题。


虽然发现漏洞的Google 研究小组不认为AMD 有那么乐观,但目前相关厂商都正积极检测自家产品是否受到波及,如Apple 已确认旗下产品包括Mac 及iOS 系统几乎都有问题,大概仅有Apple Watch 幸免于Meltdown。


处理器更新修补程序会造成性能下滑

英特尔4 日上午正式发出官方声明表示,目前公司已经了解处理器的安全漏洞机制,已经与合作伙伴进行修复。而对修复机制将会造成处理器效能下降,英特尔则指出,这将与相关的工作负载强度有关,通常使用者不会有明显感觉。而即便有受影响,也会因时间改善。

cyber-security-1914950_1280-624x351.jpg

国外科技网站《The Register》报导指出,过去十年来英特尔出产的处理器都有安全漏洞,有心人士与黑客可利用这些漏洞,轻易取得更多安全漏洞信息及重要资料。英特尔处理器广泛使用在Windows 及Linux 操作系统电脑。为了修补漏洞,英特尔提出的修补程序需要从系统端工作,因此可能造成处理器性能平均降低17% 到23%,甚至可能造成最大30% 性能损失。


英特尔4 日发表官方声明,针对处理器的安全漏洞,目前英特尔与相关合作企业已了解漏洞的运作机制。该漏洞如被恶意滥用,可能会有信息数据遭泄漏,但不会被修改、删除,或造成系统当机。漏洞是x86-64 处理器在原始设计的一个缺失。因此,目前英特尔正与AMD、ARM等合作伙伴配合研究解决方法,并已提供软件的修补更新程序。


对处理器效能降低,英特尔的回应是处理器性能与工作强度有关,并非每个使用者都会有影响。对大多数一般电脑使用者来说,不会有明显影响,即便电脑性能降低,状况也会随时间逐渐减轻。英特尔表示,原先就已发觉相关安全漏洞,并与微软、Google 研议要在下周公布,提供解决方案,但某些媒体有与事情不符的报导出现,且认为英特尔隐瞒的情况下,才会提早回应。


值得一提的是,此次大量采用英特尔处理器的苹果MacBook 笔电,在2017 年12 月提供的macOS 10.13.2 更新程式已一定程度上修补了该安全漏洞。之后,将在macOS 10.13.3 提供进一步解决方案。微软已向Windows 10 用户推送「KB4056892」紧急安全性更新,修复漏洞其中一部分,可通过Windows Update下载。另Linux 系统方面,也已发放KAISER 修正档。Google 也发声明表示,早在2017 年Google 的Project Zero 团队就发现这个大多数处理器用来优化性能的安全漏洞,Google 已采取相关措施以保护客户的数据安全,并已与软硬件相关伙伴合作,通过各项努力来保护网络安全。

 

谷歌:不止Intel,每个1995年后的处理器都可能受影响

今天 1 月 4 日,谷歌则发布了另一则新闻,他们的Project Zero 研究员发现这个底层漏洞不止影响的是Intel 芯片的设备,每一个1995 年后的处理器都会受到这个漏洞影响。


漏洞分别是三个处理器上的高危漏洞,编号为 CVE-2017-5753(变体1)、CVE-2017-5715(变体 2)和 CVE-2017-5754(变体3)。

l_yu_meltdown2-768x429.jpg

谷歌安全团队的Horn是漏洞的发现者,他认为这个硬件层面的漏洞需要 CPU厂商的固件修复、操作系统修复以及应用厂商的协作。


按照谷歌的说法,每个人以及每台设备都会受到影响。所有芯片厂商(Intel, AMD, ARM)和主要的操作系统(Windows, Linux, macOS, Android, ChromeOS)、云服务提供者 (Amazon, Google, Microsoft) 都会有影响。

您的评论:

0

用户评价

  • 暂无评论