人工智能

“计算机史上最大安全事件”持续发酵,cpu漏洞除了亡羊补牢还能怎样?

作者:李佳师来源:中国电子报、电子信息产业网发布时间:2018-01-11 我要评论

  

  1月4日,国家信息安全漏洞共享平台(CNVD)发布安全公告,公告称CPU存在Meltdown(熔断)漏洞以及Spectre (幽灵)漏洞,该漏洞存在于英特尔(Intel)x86-64的硬件中,在1995年以后生产的Intel处理器芯片都可能受到影响。同时AMD、Qualcomm、ARM处理器也受到影响。同时使用上述处理器芯片的操作系统(Windows、Linux、Mac OS、Android)和云计算平台也受此漏洞影响。这几乎影响到了包括笔记本电脑、台式机、智能手机、平板电脑和互联网服务器在内的所有硬件设备。

  有业界专家称,此CPU漏洞事件堪称计算机史上最大安全事件,波及面之广、中枪厂商之多、影响之大,史无前例。

  现代计算芯片体系之过?

  从CNVD公布的信息来看,现代的计算机处理器芯片通常使用“推测执行”(speculative execution)和“分支预测”(Indirect Branch Prediction)技术实现对处理器计算资源的最大化利用。但由于这两种技术在实现上存在安全缺陷,无法通过正确判断将低权限的应用程序访存与内核高权限的访问分开,使得攻击者可以绕过内存访问的安全隔离边界,在内核中读取操作系统和其他程序的内存数据,造成敏感信息泄露。

  有评论称,这应该是现代计算芯片体系发展史上的最大硬件漏洞,没有之一。“熔断”能够直接洞穿了Intel和微软Windows、linux、苹果Mac OS共同设下的重重安全防护,“幽灵”能悄无声息地穿透操作系统内核的自我保护,从用户运行的空间里读取到操作系统内核空间的数据,在Intel/AMD/ARM这三大主流公司的CPU上都能起作用。因为漏洞难以通过软件补丁修复也无法通过反病毒软件对抗,加上这十几年CPU出货量之大,涉及设备之多,所以忧患阴霾几乎笼罩在所有的IT设备和整个IT业界上。

  业界发生什么事?

  有人说此次事件影响之大、波及面之广堪比几年前的IT业界遭遇的“千年虫”,但是当年的“千年虫”是业界一起“捉虫”。而这次的事件有明确的厂商指向,英特尔成为率先中枪者。

  这几天,英特尔公司在事件的风口浪尖上,原因是2017年6月,谷歌Project Zero安全团队发现了这一漏洞告知了英特尔以及其他几家芯片生产商,但他们都没有向业界公布,直到2018年1月2日,科技媒体The Register发表文章Kernel-memory-leaking Intel processor design flaw forces Linux, Windows redesign,提前报道了这个问题。1月3日,英特尔公布最新安全研究结果及英特尔产品说明,公布受影响的处理器产品清单。于是所有矛头指向英特尔,因为知情不报,直到被踢爆。

  英特尔喊冤,因为其称在接到谷歌的报告后就已经开始联合上下游来解决此问题,因为问题难度之大,超乎想象。而且媒体在2017年下半年已经有报道“几个月来英特尔以及其他科技公司和专家一直在努力解决这个问题”。“这些芯片生产商及其客户、合作伙伴,包括苹果、Alphabet Inc.旗下谷歌、亚马逊公司和微软等,都已在加紧解决这一问题,一个由大型科技公司组成的联盟正展开合作,保护其服务器,并向客户的电脑和智能手机发送补丁。”

  而消息人士透露,因联盟成员之间达成了保密协议,延迟公开,赢得时间研发解决方案,确保公布漏洞后能够万无一失。原计划为1月9日公布,The Register的踢爆,让英特尔只好提前进行了系列公告。

  2018年1月4日,英特尔公告称:“英特尔已经针对过去 5 年中推出的大多数处理器产品发布了更新。到下周末,英特尔发布的更新预计将覆盖过去 5 年内推出的 90% 以上的处理器产品。”

  其后,各路芯片厂商纷纷发声。1月4日,IBM公布这一漏洞对POWER系列处理器的潜在影响。1月5日ARM承认芯片存安全漏洞,安卓iOS设备都有影响。1月5日,AMD发布官方声明,承认部分处理器存在安全漏洞。1月5日,高通就芯片漏洞发声,正在修复 但未指明受影响芯片。

  与此同时苹果、微软、阿里云、腾讯云、百度云、华为云等厂商都发布了修补漏洞的办法。

  这几天业界出了各种段子:第一天是芯片“老大中枪”,排名第二的芯片厂商说,”这是老大的事,没我什么事”。一天后,“芯片老二”也发申明提供补丁。老三说是老二的事,没我什么事,第三天,芯片老三也发了补丁下载链接。

  有评论认为,对于CPU漏洞,业界各厂商没有事先公布,这也说明了技术创新与迭代的规则正在被某种力量打破,这也暴露出一个更大的行业问题,是不是硅谷的创新精神正在走向没落?

  未来的影响?

  这一事件还在发酵。业界和消费者如何应对?

  其一,从目前来看应该说这是一个现代计算芯片体系问题,需要全产业链携手解决。从目前来看。眼下,还没有黑客们从这两个漏洞中“得手”,利用漏洞作案仍有很高的门槛,但是毕竟漏洞已经暴露出来,各厂商应该联合起来,找到更好的修补方案。目前看有一些修补方案存在影响性能以及兼容性等问题,1月8日举行的CES上表示,这些安全更新,预计针对某些工作负载下的性能会受到一些影响,英特尔会继续与业界一起协作,逐步把这些工作负载的影响减少到最低。

  其二,厂商们应该吸取教训,用户和业界需要知情权,业界需要更开放。英特尔在这个事件上的被动局面,看似偶然,其实也暴露了一个行业问题,在协同上下游及时解决问题的同时,究竟是选择合适的时间公布,还是一开始就让全业界都知道,需要业界重新思考。在问题频发,道高一尺魔高一丈的今天,我们究竟是核心成员携手解决问题还是更开放的思路实现信息共享,更大范围群策群力,考验业界的智慧。

  其三,作为消费者,无论是PC还是手机以及云的用户都及时到设备所归属的CPU以及操作系统厂商官网及时下载补丁更新,防患于未然。

  (《中国电子报》版权所有,转载请注明出处)


来源:中国电子报、电子信息产业网            责任编辑:赵强

中国虚拟现实创新创业大赛-南昌赛区

2017年12月29日,中国(南昌)虚拟现实VR产业基地2017年度盛典暨中国虚拟现实创新创业大赛南昌赛区颁奖仪式在南昌举行。

中国制造企业"双创"平台建设现场会

12月28日,由中国电子信息产业发展研究院、中国制造企业双创发展联盟联合主办,中国电子报社、北京东方国信科技股份有限公司联合承办的中国制造企业“双创”平台建设现场会在北京召开,首届中国工业互联网“双创 ...

第十届中国空调产业年会

2017年12月26日,中国空调产业年会在北京举行。本届年会由工信部赛迪研究院主办,中国电子报社承办,苏宁云商协办,北京中怡康时代市场研究有限公司提供数据支持。

2018年全国工业和信息化工作会议

2017年12月25日,全国工业和信息化工作会议在京召开。会议的主要任务是,坚持以习近平新时代中国特色社会主义思想为指导,认真贯彻落实党的十九大精神和中央经济工作会议部署,总结2017年和近五年工作,分析把握 ...

砥砺奋进的五年

党的十八大以来,工业和信息化领域深入贯彻党的十八大,十八届三中、四中、五中、六中全会精神和习近平总书记系列重要讲话精神,全面实施“中国制造2025”,深入推进供给侧结构性改革,促进工业通信业平稳健康发 ...

聚焦2017年全国两会

2017年全国两会,即中国人民政治协商会议第十二届全国委员会第五次会议和中华人民共和国第十二届全国人民代表大会第五次会议,分别于2017年3月3日15时和3月5日9时在中国首都北京开幕。

4G高端访谈:广东大普技术有限公司副总 ...

大普通信大概成立十年的时间,那么主要还是从事时钟和品类器件,那这个时钟品类器件市场本来就是一个比较偏冷门的技术,所以大普一直以来保持也比较低调,但在行业内知名度还是比较高的。

4G高端访谈:苏宁互联副总经理王帅

今天我们很有幸请到了苏宁互联的副总经理王帅王总,跟我们聊一下苏宁互联在苏宁方面开展的业务,王总请您先简单介绍一下咱们这个因为这次毕竟也是虚商也是以一个整体的形象,首次亮相大型的展会,就您的观察这次 ...

友情链接
关于我们 | 联系我们 | 设为首页 | 加入收藏 | 广告服务 | 网站地图
电子信息产业网LOGO