英特尔芯片漏洞危机,谁都不能幸免

科技日报 2018-01-05

  英特尔芯片漏洞危机,谁都不能幸免

  去年底爆出管理引擎存在安全漏洞的风波刚刚平息,北京时间1月2日,英特尔芯片存在严重安全漏洞的消息被科技媒体The Register踢爆,英特尔几乎渗透进所有人生活的现实,引得许多难明真相的业外群众都跟着激动。

  虽然漏洞的具体情况还待证实,但理论上,这次曝出的漏洞让所有能访问虚拟内存的CPU都可能被人恶意访问,理应受保护的密码、应用程序密匙等重要信息因此面临风险。今天早晨,科技日报记者收到的英特尔官方声明强调,这些攻击没有可能损坏、修改或删除数据。

  据说英特尔和相关科技公司已完全了解了安全漏洞的工作机制,正和包括AMD、ARM和操作系统供应商在内的软硬件小伙伴一起“开发一种适应于全行业的方法”以“迅速并具有建设性地解决问题”。

  提前发声明:喊冤+正视听

  原本英特尔和微软、谷歌等计划下周公开漏洞并给出解决方案,但是,英特尔显然对各种“隐瞒不报、偷着修复”“性能大损失”“Intel x86设计十年大BUG”等指责不能忍,提前发表了声明。

  首先,针对“该漏洞仅是Intel x86-64处理器的设计BUG或缺陷”,英特尔得冤枉,它在声明中说:“媒体报道称这一安全问题是由一处‘缺陷’引起的,而且仅影响英特尔芯片的说法不正确。基于目前分析,许多类型的计算设备(包括许多不同厂商的处理器和操作系统)都容易受到这些漏洞的攻击。”此话不假,AMD、ARM的服务器系统也遭波及。

  英特尔芯片漏洞危机,谁都不能幸免

  其次,一些报告认为,这个芯片级安全漏洞的修补程序并不完善,即使完成了修复,也会对性能造成严重影响。“可能导致5%到30%的性能下降”,成为最广泛流行的预测。

  英特尔的反驳翻译成小白能懂的话就是:性能问题与工作负载强相关,不能一概而论。对一般用户来说,影响并不显著,即便性能削弱,也会随着时间的推移得到缓解。

  英特尔发布声明后,AMD和ARM均表示将积极与合作伙伴防止安全漏洞出现;谷歌Project Zero安全团队第一时间站出来声援Intel,称安卓等相关系统已经得到修复,可以抵御此次风险。

  英特尔芯片漏洞危机,谁都不能幸免

  针对科技日报记者对此次漏洞的询问,微软发言人的回复应该可以正视听:“我们知悉这一有广泛行业影响的问题,并且一直在与芯片制造商保持密切的合作,开发和测试漏洞缓解措施,以保护我们的客户。我们正在对云计算服务部署安全缓解措施,并于1月3日发布了安全更新以保护 Windows 客户免受针对安全漏洞的恶意攻击,这些漏洞影响包括来自英特尔、AMD 和 ARM 等芯片厂商的硬件。目前,我们暂未收到任何信息表明这些安全漏洞已经被用于攻击我们的用户。”

  影响多大:一个都跑不掉

  安全人员将此次爆出的两个新漏洞命名为Meltdown(熔断)和Spectre(幽灵),前者允许低权限、用户级别的应用程序“越界”访问系统级的内存,后者则可以骗过安全检查程序,使应用程序访问内存的任意位置。

  英特尔芯片漏洞危机,谁都不能幸免

  这可不是好事。内核的内存空间含有各种各样的秘密信息,比如密码、登录密钥、来自磁盘的缓存文件等,如果运行的恶意软件能够嗅探内核保护的敏感数据,后果不堪设想。

  实际上,这个漏洞是几个月之前由谷歌的“Project Zero”安全团队发现的,谷歌团队找到了三种方法让恶意代码去控制系统,让普通的用户程序读取出本应受保护的内容。虽然许多供应商已经开发了修补程序来防止攻击,但不幸的是,谁也不能同时解决这三个问题。

  虽然AMD称自己的处理器基本免疫,但Spectre漏洞的联合发现者Daniel Gruss(奥地利格拉茨技术大学)称,他基于AMD处理器的Spectre代码攻击模拟相当成功,显然,AMD也不能那么自信。

  英特尔芯片漏洞危机,谁都不能幸免

  因为目前尚未有任何一起真实攻击事件发生,所有的推演都来自于本地代码模拟,有人将该次漏洞事件理解为“看似很严重”。但是,更多的人认为,用“致命打击”来形容这次漏洞都不夸张,不单只英特尔一家中招,Windows、Linux、macOS、亚马逊AWS、谷歌安卓系统均受到影响。一位博客名为Python Sweetness的软件开发人员发表的一篇文章被竞相转载,他在文中表示,这个“缺陷”将会对包括亚马逊、微软和谷歌在内的云计算厂商带来重大影响。

  他们均大量使用英特尔CPU、Linux系统,服务器一旦遭到攻击,所有的数据都将不再安全。

  并且,此次芯片级的漏洞并不容易解决,远不是软件修复层面可完成,为消除在芯片层面的安全隐患,必须在操作系统上进行修复,或许,重新设计Linux内核和Windows内核已不可避免。

责任编辑:李阳阳

科普中国APP 科普中国微信 科普中国微博
科技日报
是中国科协为深入推进科普信息化建设而塑造的全新品牌,旨在以科普内容建设为重点,充分依托现有的传播渠道和平台,使科普信息化建设与传统科普深度融合,以公众关注度作为项目精准评估的标准,提升国家科普公共服务水平。

猜你喜欢