文/AI財經社 四月
編/趙豔秋
近日,英特爾處理器被爆出存在一個大Bug。研究人員將他們稱作「Meltdown(熔斷) 」和「Spectre(幽靈)」,並指出英特爾CPU晶片存在根本性的設計缺陷,Linux和微軟Windows作業系統將需要進行重大安全更新。此次漏洞波及面極廣,近20年來生產的手機、電腦、雲計算產品幾乎都在風險之列。
簡單來說,這個漏洞可以讓任何程序都無視權限控制,隨意讀取虛擬內存內的數據。再加上 Windows 和 Linux 的內存模型設計,使得這個 Bug能夠讀取用戶的內核。從最簡單的各種帳號密碼、照片、文檔,到複雜加密文件系統的密碼等一些深層數據,都可能透過這個漏洞獲得。不止電腦,安卓和蘋果手機、平板也會受到漏洞的影響!
該漏洞演化為 Meltdown(熔斷) 和 Spectre(幽靈)兩種。其中,熔斷允許低權限用戶級別的應用程式「越界」訪問系統級的內存,從而造成數據洩露。而幽靈則可以騙過安全檢查程序,使得應用程式訪問內存的任意位置。
當下,「受災」面積最大的當屬使用英特爾伺服器的雲服務。正因如此,亞馬遜、微軟、谷歌已經行動起來,給雲服務打補丁,按計劃中斷服務,防止攻擊者竊取數據。國內,百度雲、騰訊雲等雲計算平臺均表示正在緊急修復漏洞。騰訊雲將在1月10日凌晨01:00-05:00通過熱升級技術對硬體平臺和虛擬化平臺進行後端修復。
事件被爆出當天,英特爾股價受挫下跌4%,競爭對手AMD上漲7%。
雖然已確認漏洞波及到另外兩家晶片企業ARM和AMD。不過AMD在聲明中表示,受影響較小,「因為架構不同,AMD處理器的風險幾乎為零。」ARM則回應媒體,一些處理器受到影響,比如Cortex-A處理器。
1月4日,英特爾官方回應稱,他們和相關科技公司已經完全了解了安全漏洞的工作機制,如果被惡意利用,有可能會造成信息數據洩露,但是絕沒有修改、刪除和導致系統崩潰的可能。
關於該漏洞僅僅是英特爾處理器的一個設計BUG或者缺點,英特爾認為報導有誤。他們指出AMD/ARM的伺服器系統,事實上也受到波及。大伙兒正緊密配合,研究出最徹底的應對之策。
針對所謂的打上補丁後,性能損失30%~35%,英特爾強調,性能問題與工作負載相關,不能一概而論。事實上,就每個用戶而言,不會有顯著影響,並且會隨時間推移而減輕。
英特爾表示,他們已經開始提供軟體和固件更新。本來都和微軟、谷歌等企業商量好了,下周公開這一漏洞並同時給出解決方案,結果外媒TheReg率先踢爆,同時關於「Intel隱瞞不報、偷著修復」、「性能大損失」、「Intel x86設計十年大BUG」報導的出現,讓他們不得不提前站出來,以正視聽。
而媒體還把英特爾內部可能早已獲悉這件事,與2017年底英特爾CEO科再奇(Brian Krzanich)拋售手中數千萬美元的英特爾股票的舉動聯繫起來。當時,谷歌已經發現漏洞,隨後針對安卓手機發布最新版本8.0。
面對這一情況,英特爾公司新聞發言人緊急做出聲明,表示科再奇出售英特爾公司持股,是按照事先制定的股票出售計劃完成的,並非臨時做出的決定。這樣的拋售更與安全漏洞時間毫無關係。在完成本次拋售之後,科再奇手中仍持有25萬股英特爾股票。
這次安全漏洞事件並不是英特爾歷史上的首次重大產品事故。1994年,英特爾曾經召回價值數千萬美元的奔騰處理器,原因是該處理器中含有FDIV bug。 但是CEO科再奇認為,Meltdown和Spectre要比1994年發生的FDIV容易解決,而且英特爾已經開始在解決這個漏洞。英特爾表示,過去5年中生產的9成處理器,都將在本周迎來軟體更新以解決漏洞。
為了消除英特爾CPU晶片的安全缺陷,目前業界正在對Linux內核和Windows內核進行重新設計。預計在即將到來的「周二補丁日」會公開對Windows作業系統所作的必要改動,以此來幫助用戶封堵漏洞。