Menu
Woocommerce Menu

澳门新萄京娱乐英特尔称漏洞非一家之过 规范速度赶不上研发速度

0 Comment


英特尔最近被“熔断”(Meltdown)和“幽灵”(Spectre)这两个安全漏洞缠住了身。前者允许低权限、用户级别的应用程序“越界”访问系统级的内存;后者则可骗过安全检查程序,使应用程序访问内存的任意位置。1月3日,英特尔发布《最新安全研究结果及英特尔产品说明》,承认“熔断”和“幽灵”的存在,正与AMD、ARM控股以及其他操作系统供应商合作解决问题。英特尔方面在接受法治周末记者采访时表示,在极端测试的环境下才有可能出现上述情况,截至目前,业界尚未一起与之相关的入侵事件。但实际上,早在半年前,英特尔就被告知芯片有缺陷。英特尔称漏洞非“一家之过”2017年6月,谷歌Project
Zero安全团队的一名成员向英特尔、AMD和ARM以及其他芯片生产商告知了“熔断”和“幽灵”漏洞的情况。“为了防止这些漏洞被黑客发现,产生安全隐患,发现此次漏洞的谷歌团队要求英特尔、AMD、ARM等被通知的芯片企业以及各个操作系统供应商携手秘密开发并着手修补漏洞。”英特尔方面告诉法治周末记者。1月4日,英特尔发布公告称,英特尔已经为基于英特尔芯片的各种计算机系统(包括个人电脑和服务器)开发了更新,并且正在快速发布这些更新,以保护这些系统免受谷歌Project
Zero所报告的两种潜在攻击隐患。英特尔与其产业伙伴在部署软件补丁和固件更新方面已取得了一些进展。亚太网络法律研究中心主任、北京师范大学法学院教授刘德良表示,我国的网络安全法有规定,各种系统或网络被发现存在漏洞时,发现者不能随意公开,防止被黑客利用,有时候可能黑客并不知道漏洞存在,发现者公布后有可能在补丁更新前被黑客利用,造成损失。根据《英特尔公司CEO科再奇致科技行业领袖的公开信》,英特尔将在近日发布更新,以覆盖过去5年内推出的90%以上的英特尔CPU,其他CPU的更新将在1月底前发布。“漏洞门”事件给英特尔股价造成了影响。法治周末记者发现,英特尔股票自2018年1月2日46.85美元收盘、涨跌幅1.49%后,1月3日的收盘价为45.26美元,涨跌幅-3.39%;1月9日的收盘价为43.62美元,涨跌幅-2.50%;1月10日的收盘价为42.49美元,涨跌幅-2.59%。自“漏洞门”曝光后,其股价均出现下滑。英特尔方面告诉法治周末记者,“熔断”和“幽灵”两个漏洞并非只有英特尔芯片受影响,这种影响力是跨架构、跨国界的,且PC、服务器、平板、手机等都被波及。AMD、ARM、英伟达、苹果、高通甚至IBM,近期都忙于修复上述漏洞。法治周末记者注意到,苹果也于1月9日发布《关于基于ARM
的CPU和Intel
CPU中的预测执行漏洞》,称“熔断”和“幽灵”涉及所有现代处理器,且会影响几乎所有计算设备和操作系统,Mac系统和
iOS设备都会受到影响。苹果方面称,已发布相应更新来应对“熔断”和“幽灵”。漏洞补丁导致性能下降

自美国科技博客The Register于2018年1月2日率先披露由CPU Speculative
Execution引发的芯片级安全漏洞Spectre(中文名“幽灵”,有CVE-2017-5753和CVE-2017-5715两个变体)、Meltdown(中文名“熔断”,有CVE-2017-5754一个变体)以来,英特尔、ARM、AMD、苹果、IBM、高通、英伟达等都已承认自家处理器存在被攻击的风险。尽管由CPU底层设计架构引发的此次安全“漏洞门”事件,波及到几乎所有的芯片厂商,但全球芯片业“老大”——英特尔成为最显著的输家。《中国经营报》记者注意到,英特尔的股价已经由1月2日的46.85美元/股下跌至1月11日的42.50美元/股,市值缩水204亿美元。又观英特尔的竞争对手AMD,该公司股价已经从1月2日的10.98美元/股涨至1月11日的11.93美元/股,涨幅接近10%。英特尔等芯片厂商、微软等操作系统厂商、苹果等终端厂商应对此次CPU安全“漏洞门”的措施均指向“打补丁”。英特尔中国相关发言人1月10日在电话和邮件中告诉《中国经营报》记者,“(2017年)12月初我们开始向OEM合作伙伴发布固件更新。我们预计(过去)一周内发布的更新将覆盖过去5年内推出的90%以上的英特尔处理器,其余的将在(2018年)1月底前发布。此后我们将继续发布其他产品的更新。”该发言人强调英特尔“不会进行芯片召回”。“漏洞门”被提前泄露此轮CPU“漏洞门”被誉为“千年虫”之后计算设备发展史上最大的安全漏洞。什么是“千年虫”?也就是计算机2000年问题。因为以前计算机内存比较小,年份都是用两位数表示,比如1980年就是80,到1999年,80年出生就是99-80=19岁,但是在2000年,变成00-80=-80岁了,这就是所谓的“计算机2000年问题”。此次CPU“漏洞门”又是怎么回事?华为一位技术专家告诉《中国经营报》记者,人们向计算机发出的指令分为正常可被执行、异常不被执行两种,按照最初的架构设计,异常不被执行的指令会留在缓存里面,同时被认为不会留下任何痕迹,所以即使这些指令可以看到内存机密信息也没关系,但现在已证实这些指令还是在曾经访问过的内存里面留下蛛丝马迹,并且可以被攻击者利用,从而导致用户敏感信息泄露。谷歌旗下的Project
Zero(零项目)团队率先发现了由CPU Speculative
Execution引发的这些芯片级漏洞,并将之命名为Spectre(幽灵)和Meltdown(熔断),并通过测试证实了Spectre(幽灵)影响包括英特尔、AMD、ARM等在内的众多厂商的芯片产品,Meltdown(熔断)则主要影响英特尔芯片。“这些漏洞是谷歌公司的Project
Zero团队最初在2017年6月向英特尔、AMD、ARM公司通报的。因为这些安全风险涉及各种不同的芯片架构,所以在获得Project
Zero团队通报并对问题予以验证之后,英特尔、AMD、ARM等厂商迅速走到一起,并由谷歌牵头签订了保密协议,同时在保密协议的约束下展开合作,从而保证在约定的问题披露期限(2018年1月9日)到达之前找到解决问题的方案。”英特尔中国相关人士告诉《中国经营报》记者。不仅是谷歌的Project
Zero团队,在2017年下半年又有数位研究者独立发现了这些安全漏洞。“这些研究者得知这些安全问题已经由Project
Zero团队向芯片厂商做出通报,产业界正在合作,加紧开发解决方案之后,也同意在产业界协商同意的披露时间点(2018年1月9日)之前对他们的发现予以保密。”英特尔中国相关人士表示。但随着披露时间点(2018年1月9日)的临近,此次CPU安全“漏洞门”还是在2018年1月2日被提前披露。谷歌随后2018年1月3日也披露了相关情况——Project
Zero团队在2017年6月1日向英特尔、AMD、ARM通报了Spectre,2017年7月28日又向英特尔通报了Meltdown。抱团应对尽管与“千年虫”类似,此次CPU安全“漏洞门”的根本原因是底层架构设计造成的,但问题被披露以后,舆论的矛头主要指向了英特尔。一位业内人士在接受《中国经营报》记者采访时认为,一方面是因为Spectre和Meltdown两个漏洞都涉及到了英特尔,另一方面是因为英特尔是全球芯片行业的“老大”,其产品覆盖面、受影响的用户群体无疑是最大的。对于CPU安全“漏洞门”被媒体定义为英特尔芯片安全“漏洞门”,英特尔方面颇感委屈。《中国经营报》记者2018年1月3日收到的《英特尔关于安全研究结果的回应》称,这些安全漏洞“不是英特尔产品所独有”。1月4日,英特尔发布更新声明,表示“英特尔已经针对过去5年中推出的大多数处理器产品发布了更新。到下周末(1月14日),英特尔发布的更新预计将覆盖过去5年中推出的90%以上的处理器产品。”根据美国《俄勒冈人报》报道,英特尔CEO柯再奇在1月8日还向员工发送了一份备忘录,表明该公司将建立新的“英特尔产品保证和安全”部门,加强安全工作。柯再奇在1月9日的CES
2018开幕演讲中再次强调,“在本周内,修复更新将覆盖到90%的近5年产品,剩余的10%也会在1月底前修复。”

澳门新萄京娱乐 1

一年前,谷歌零项目组(Project
Zero)曝光了英特尔数百万块芯片中隐藏20余年未被发现的严重安全漏洞“熔断”和“幽灵”,几乎将世界上所有计算机设备置于黑客攻击的风险之中。

尽管英特尔正在竭尽全力修复这些漏洞,然而这似乎打开了一个“潘多拉的魔盒”:英特尔芯片安全漏洞问题接二连三地浮出水面。

澳门新萄京娱乐 2

芯片漏洞“熔断”和“幽灵”

美国时间5月14日,英特尔再次爆出一组新的严重芯片漏洞,官方命名为“微架构数据采样漏洞(Microarchitectural
Data
Sampling,简称MDS)”,漏洞发现者将MDS包含的三种类型的漏洞分别命名为“僵尸装载(ZombieLoad)”“放射性浮尘”和“飞行中的数据流氓(Rogue
in-flight Data Load)”。

澳门新萄京娱乐 3

新的漏洞为“僵尸装载” “飞行中的数据流氓”“放射性浮尘”

研究者称,它们将会影响全球数百万部计算机和电子产品,搭载了2011
年之后出厂的英特尔芯片的设备无一幸免。

“芯片漏洞”危及全球企业和政府云数据

这组漏洞允许黑客通过旁路攻击的方式,绕开芯片的加密算法,直接获得 CPU
正在处理的程序数据和帐号密码等敏感信息,监视用户访问过的网站。如果该芯片正在并行处理多组数据,它们都会遭到泄漏,而用户可能对此一无所知。

英特尔官方表示,黑客要利用这个漏洞可谓“极其复杂”,并且尚没有报告发现黑客在利用该漏洞窃取数据,并且强调漏洞“只能让黑客获得攻击时的数据而非指定数据”,试图淡化漏洞的负面影响。

目前,英特尔将这些漏洞的评级为“低到中等”,并且已经发布硬件与软件漏洞补丁。但是,研究人员对英特尔的MDS漏洞严重性评级提出了质疑。漏洞发现者奥地利图格拉茨大学的研究人员对MDS漏洞的评估大致介于此前两个被发现的漏洞之间,没有“熔断”严重,但比“幽灵”更糟糕。

澳门新萄京娱乐 4

该漏洞“虽然很难利用,但也很难修补。”美国加州一家软件公司Obsidian
Security首席技术官本·约翰逊(Ben
Johnson)表示,“它涉及到我们硬件的基础——我们的云端数据中心、我们的台式电脑的基础。”

安全研究人员警告说,这个漏洞可能会对“云数据中心”处理的信息造成特别大的风险,目前许多大型企业和政府部门都依赖云数据中心来处理信息。

澳门新萄京娱乐 5

ZombieLoad 漏洞实时监视用户所浏览的网页

如果修复MDS漏洞会限制系统可同时处理的“线程”数量,一些电脑系统在修复后的速度可能会大幅变慢。苹果公司也发布警告称,目前Mac电脑系统更新至
Mojave
10.14.5将会是安全的,并且不会有显著的性能影响。如果用户选择运行全套安全补丁,则可能受到最高
40% 的性能损失。微软同样已在最新的系统更新里部署相关的补丁。

在移动设备与云服务领域,谷歌表示,只有使用英特尔芯片的安卓系统才会有漏洞,用户需要安装设备产商最新更新补上漏洞,而谷歌自主研发的Chromebook产品则已经完成补丁更新。亚马逊则在第一时间更新了所有AWS的主机,表示产品已不会收到此漏洞的影响。

“CPU霸主”面临冲击

英特尔作为全球最大的CPU芯片制造商,可以说只要有计算机的地方就有它的身影。然而,最近英特尔芯片问题频频爆出,让其面临着新的“内忧外患”.。

去年爆出的“芯片漏洞”之后,不少企业选择购买AMD服务器芯片以应对英特尔芯片漏洞所带来的架构安全风险,对于此次MDS漏洞,经研究人员认定,AMD和ARM芯片均不会受到影响,这给了AMD新的赶超之机。

英特尔虽然多年来在芯片研发上保持着领先优势,然而其在半导体工艺上的发展速度已有明显放缓趋势,14nm工艺自2014年已经使用了五代,而更先进的7nm工艺却被竞争对手AMD抢先。

澳门新萄京娱乐 6

根据 Mercury
Research数据统计,2018年第四季度AMD在桌面处理器市场上的份额已经提升到了15.8%,这与AMD在这一两年内开发出全新的Ryzen处理器有着很大关系。2019
年 7月AMD将推出的Zen 2架构Ryzen 3000系列处理器,将采用台积电 7
nm工艺,而根据英特尔曝光的线路图来看,预计2021年桌面10nm处理器才会登场。

澳门新萄京娱乐 7

而在5G移动芯片领域,在今年4月苹果与高通和解,英特尔由于交付时间问题,未能成功代替高通成为苹果的合作伙伴,最终选择出局。而苹果对此前iPhoneX和iPhoneX
Max中使用的英特尔芯片技术亦表示不满。目前,英特尔在移动芯片领域的工艺已经无法跟高通和联发科等争夺市场,错失5G移动芯片的机遇。

老牌“CPU”芯片霸主英特尔坐拥的市场基础不言而喻,但如今面临的“内忧外患”却日益增多,也许英特尔在当下最紧要的是聚焦自身的核心优势,拿出看家芯片工艺和黑科技来,市场主导者的荣光才能重新挽回。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

相关文章

网站地图xml地图