今年新年剛過,爆出了幾乎席捲整個IT產業的晶片漏洞事件,讓人們剛剛放鬆的神經緊張起來。
根據國內外媒體的披露,事件的來龍去脈是這樣的:
2017年,Google旗下的ProjectZero團隊發現了一些由CPUSpeculativeExecution引發的晶片級漏洞,「Spectre」(變體1和變體2:CVE-2017-5753和CVE-2017-5715)和「Meltdown」(變體3:CVE-2017-5754),這三個漏洞都是先天性質的架構設計缺陷導致的,可以讓非特權用戶訪問到系統內存從而讀取敏感信息。
2017年6月1日,ProjectZero安全團隊的一名成員在向英特爾和其他晶片生產商告知了這些漏洞的情況,而直到2018年1月2日,科技媒體TheRegister在發表的一篇文章中曝光了上述CPU漏洞,才讓晶片安全漏洞問題浮出水面,也讓英特爾陷入一場突如其來的危機,導致股價下跌。
晶片安全漏洞爆出後,引起了媒體和業界的廣泛關注:不但將在CPU上市場份額佔絕對優勢的英特爾拋到輿論漩渦中,也引起大家對安全問題的擔憂。人們不禁要問,晶片漏洞問題早已發現,為什麼到才被公布?是英特爾有意隱瞞嗎?
延期公布,為準備應對方案贏得了時間
從媒體披露的情況來看,1995年以來大部分量產的處理器均有可能受上述漏洞的影響,且涉及大部分通用作業系統。
雖然是英特爾為主,但ARM、高通、AMD等大部分主流處理器晶片也受到漏洞影響,IBMPOWER細節的處理器也有影響。採用這些晶片的Windows、Linux、macOS、Android等主流作業系統和電腦、平板電腦、手機、雲伺服器等終端設備都受上述漏洞的影響。
應該說,這是跨廠商、跨國界、跨架構、跨作業系統的重大漏洞事件,幾乎席捲了整個IT產業。
根據《華爾街日報》報導稱,ProjectZero安全團隊在2017年6月1日向英特爾和其他晶片生產商告知漏洞情況後,這7個月時間裡,英特爾一直在努力聯合其他主流晶片廠商、客戶、合作夥伴,包括蘋果、谷歌、亞馬遜公司和微軟等在加緊解決這一問題,一個由大型科技公司組成的聯盟正展開合作,研究並準備應對方案。
據消息人士透露,該聯盟成員之間達成了保密協議,延遲公開,研究開發解決方案,確保公布漏洞後「準備就緒」。該消息人士還稱,原計劃1月9日公開,而由於科技媒體TheRegiste在1月2日就曝光了晶片漏洞問題,導致英特爾等公司提前發布了相關公告。
在晶片漏洞曝光後的第二天,1月3日英特爾公布了最新安全研究結果及英特爾產品說明,公布受影響的處理器產品清單。
1月4日,英特爾宣布,與其產業夥伴在部署軟體補丁和固件更新方面已取得重要進展。英特爾已針對過去5年中推出的大多數處理器產品發布了更新,到這個周末,發布的更新預計將覆蓋過去5年內推出的90%以上的處理器產品。
隨後,微軟、谷歌以及其他一些大型科技公司相繼發布關於漏洞的應對方案,表示他們正在或已對其產品和服務提供更新。
微軟發布了一個安全更新程序,以保護使用英特爾和其他公司晶片的用戶設備;蘋果確認所有的Mac系統和iOS設備都受到該漏洞影響,但已發布防禦補丁;谷歌表示,已更新了大部分系統和產品,增加了防範攻擊的保護措施;高通表示,針對受到近期曝光的晶片級安全漏洞影響的產品,正在開發安全更新。
有網絡安全專家認為,雖然漏洞影響範圍廣泛,對於普通用戶,大可不必過於恐慌,但受影響較大的主要會是雲服務廠商。大部分雲服務廠商也公布了應對方案和時間表。