1月4日,国家信息安全漏洞共享平台(CNVD)发布安全公告,公告称CPU存在Meltdown”(熔断)漏洞以及Spectre (幽灵)漏洞,该漏洞存在于英特尔(Intel)x86-64的硬件中,在1995年以后生产的Intel处理器芯片都可能受到影响。同时AMD、Qualcomm、ARM处理器也受到影响。同时使用上述处理器芯片的操作系统(Windows、Linux、Mac OS、Android)和云计算平台也受此漏洞影响。
这几乎影响到了包括笔记本电脑、台式机、智能手机、平板电脑和互联网服务器在内的所有硬件设备。有业界专家称,此CPU漏洞事件堪称计算机史上最大安全事件,波及面之广、中枪厂商之多、影响之大,史无前例。
现代计算芯片体系之过?
从CNVD公布的信息来看,现代的计算机处理器芯片通常使用“推测执行”(speculative execution)和“分支预测”(Indirect Branch Prediction)技术实现对处理器计算资源的最大化利用。但由于这两种技术在实现上存在安全缺陷,无法通过正确判断将低权限的应用程序访存与内核高权限的访问分开,使得攻击者可以绕过内存访问的安全隔离边界,在内核中读取操作系统和其他程序的内存数据,造成敏感信息泄露。
有评论称,这应该是计算机体系结构发展史上的最大硬件漏洞,没有之一。“熔断”能够直接洞穿了Intel和微软Windows、linux、苹果Mac OS共同设下的重重安全防护,“幽灵”能悄无声息地穿透操作系统内核的自我保护,从用户运行的空间里读取到操作系统内核空间的数据,在Intel/AMD/ARM这三大主流公司的CPU上都能起作用。因为漏洞难以通过软件补丁修复也无法通过反病毒软件对抗,加上这十几年CPU出货量之大,涉及设备之多,所以忧患阴霾几乎笼罩在所有的IT设备和整个IT业界上。
业界发生什么事?
有人说此次事件影响之大、波及面之广堪比几年前的IT业界遭遇的“千年虫”,但是当年的“前年虫”是业界一起“捉虫”。而这次的事件有明确的厂商指向,英特尔成为率先中枪者。
这几天,英特尔公司在事件的风口浪尖上,原因是2017年6月,谷歌Project Zero安全团队发现了这一漏洞告知了英特尔以及其他几家芯片生产商,但他们都没有向业界公布,直到2018年1月2日,科技媒体The Register发表文章Kernel-memory-leaking Intel processor design flaw forces Linux, Windows redesign,提前报道了这个问题。1月3日,英特尔公布最新安全研究结果及英特尔产品说明,公布受影响的处理器产品清单。于是所有矛头指向英特尔,因为知情不报,直到被踢爆。
英特尔喊冤,因为其称在接到谷歌的报告后就已经开始联合上下游来解决此问题,因为问题难度之大,超乎想象。而且媒体在2017年下半年已经有报道“几个月来英特尔以及其他科技公司和专家一直在努力解决这个问题”。“这些芯片生产商及其客户、合作伙伴,包括苹果、Alphabet Inc.旗下谷歌、亚马逊公司和微软等,都已在加紧解决这一问题,一个由大型科技公司组成的联盟正展开合作,保护其服务器,并向客户的电脑和智能手机发送补丁。”而消息人士透露,因联盟成员之间达成了保密协议,延迟公开,赢得时间研发解决方案,确保公布漏洞后能够万无一失。原计划为1月9日公布,The Register的踢爆,让英特尔只好提前进行了系列公告。
2018年1月4日,英特尔发布公告称:“英特尔已经针对过去 5 年中推出的大多数处理器产品发布了更新。到下周末,英特尔发布的更新预计将覆盖过去 5 年内推出的 90% 以上的处理器产品。”
其后,各路芯片厂商纷纷发声。1月4日,IBM公布这一漏洞对POWER系列处理器的潜在影响。1月5日ARM承认芯片存安全漏洞,安卓iOS设备都有影响。1月5日,AMD发布官方声明,承认部分处理器存在安全漏洞。1月5日,高通就芯片漏洞发声,正在修复 但未指明受影响芯片。
与此同时苹果、微软、阿里云、腾讯云、百度云、华为云等厂商都发布了修补漏洞的办法。
这几天业界出了各种段子:第一天是芯片“老大中枪”,排名第二的芯片厂商说,”这是老大的事,没我什么事”。一天后,“芯片老二”也发申明提供补丁。老三说是老二的事,没我什么事,第三天,芯片老三也发了补丁下载链接。
有评论认为,对于CPU漏洞,业界各厂商没有事先公布,这也说明了技术创新与迭代的规则正在被某种力量打破,这也暴露出一个更大的行业问题,是不是硅谷的创新精神正在走向没落?
未来的影响?
这一事件还在发酵。业界和消费者如何应对?
其一,从目前来看应该说这是一个CPU体系架构的问题,需要全产业链携手解决。从目前来看。眼下,还没有黑客们从这两个漏洞中“得手”,利用漏洞作案仍有很高的门槛,但是毕竟漏洞已经暴露出来,各厂商应该联合起来,找到更好的修补方案。目前看有一些修补方案存在影响性能及兼容等问题,如何鱼和熊掌兼得还需要厂商们努力。英特尔公司CEO在刚刚举行的CES上表示,这些安全更新,预计针对某些工作负载下的性能会受到一些影响,英特尔会继续与业界一起协作,逐步把这些工作负载的影响减少到最低。
其二,厂商们应该吸取教训,用户和业界需要知情权。厂商在这个事件上的被动局面,看似偶然,其实也暴露了一个行业问题,在协同上下游及时解决问题的同时,需要更公开透明信息披露机制。在协同上下游及时解决问题的同时,究竟是选择合适时间公布,还是让全业界都知道,在道高一尺魔高一丈,问题频发的今天,究竟是核心成员携手解决还是更开放的思路实现信息共享,更大范围群策群力,需要业界重新思考。
其三,作为消费者,无论是PC还是手机以及云的用户都及时到设备所归属的CPU以及操作系统厂商官网及时下载补丁更新,防患于未然。