据国外科技媒体The Register北京时间1月3日的报道,英特尔公司旗下处理器芯片的一个根本性设计缺陷,迫使Windows、Linux内核需要进行大规模重新设计,以解决芯片级安全漏洞。

不过,Windows、Linux的系统更新将会影响英特尔产品的性能,导致英特尔芯片速度放慢5%至30%。

据了解,Intel CPU漏洞问题衍生出来的安全事件已经波及全球几乎所有的手机、电脑、云计算产品,ARM确认 Cortex-A架构中招。这一次由Intel服务器CPU产品诱发的安全事故现在规模正式扩大,确认波及到ARM和AMD,也就是说,近二十年来生产的几乎一切手机、电脑、云计算产品都在风险之列。不过AMD表示从目前的研究来看,他们受影响最小,可视为零风险。

安全人员将两个新的漏洞命名为Meltdown(熔断)和Spectre(幽灵),前者允许低权限、用户级别的应用程序“越界”访问系统级的内存,从而造成数据泄露。

1、哪些系统受影响?

Windows、Linux、macOS、亚马逊AWS、谷歌安卓均中招。

2、除了Intel处理器,还波及哪些硬件?

ARM的Cortex-A架构和AMD处理器。Cortex-A目前广泛用于手机SoC平台,包括高通、联发科、三星等等。

虽然AMD称基于谷歌研究的三种攻击方式,自己的处理器基本免疫。但Spectre(幽灵)漏洞的联合发现者Daniel Gruss(奥地利格拉茨技术大学)称,他基于AMD处理器的Spectre代码攻击模拟相当成功,绝不能低估。

3、如何修复?

Intel建议关注后续的芯片组更新、主板BIOS更新,但首先,应该把OS级别的补丁打上。

对于Meltdown漏洞:Linux已经发布了KAISER、macOS从10.13.2予以了修复、谷歌号称已经修复,Win10 Insider去年底修复、Win10秋季创意者更新今晨发布了KB4056892,将强制自动安装。 亚马逊也公布了指导方案。

对于难度更高的Spectre漏洞,目前仍在攻坚。

4、Windows 7/XP受影响不?

微软承诺,将在下一个补丁日帮助Win7修复,但是否惠及XP没提。

5、打补丁性能受到影响?

研究者Gruss称对此,他无法给出确切结论,但从Intel声明的措辞中可以确认会有性能损失。

福布斯称,性能影响较大的是Intel 1995年到2013年的老处理器,最高可达50%,从Skylake这一代之后就几乎察觉不到了。

6、那么这些漏洞造成什么损失了?

由于两个漏洞都是越级访问系统级内存,所以可能会造成受保护的密码、敏感信息泄露。

但福布斯了解到,目前,尚未有任何一起真实世界攻击,所有的推演都来自于本地代码模拟。

所以,看似很严重但其实也可以理解为一次安全研究的胜利。研究者称,漏洞要在个人电脑上激活需要依附与具体的进程等,比如通过钓鱼软件等方式植入。

以下为英特尔声明全文:

英特尔和其他技术公司对最近媒体报道的一项安全研究已经了解。这一研究中描述的软件分析方法,当被用于恶意目的时,有可能从被操纵的计算设备中不当地收集敏感数据。英特尔认为,这些攻击没有可能损坏、修改或删除数据。

最近的报道还称,这些破坏是由“漏洞”或“缺陷”造成的,并且是英特尔产品所独有的——这是不正确的。根据迄今的分析,许多类型的计算设备(有来自许多不同供应商的处理器和操作系统)都会容易受到类似攻击。

英特尔致力于为产品和客户安全提供保障,并与许多其他技术公司(包括 AMD、ARM 控股和多个操作系统供应商)密切合作,以制定用于全行业的方法,迅速、有建设性地解决这一问题。英特尔已开始提供软件和固件更新来抵御这些破坏。与某些报道中指出的恰恰相反,不同负载受影响程度不同。对于一般的计算机用户来说影响并不显著,而且会随着时间的推移而减轻。

英特尔致力于提供业界最佳实践,负责任地披露潜在的安全问题,这就是英特尔和其他供应商原本计划在下周发布更多软件和固件更新的原因。但由于当前媒体不准确的报道,英特尔今天特此发表声明。

请与您的操作系统供应商或系统制造商联系,并尽快采纳任何可用的更新。日常遵循抵御恶意软件的安全操作,也有助于在应用更新之前防止可能的破坏。

英特尔相信其产品在世界上是最安全的,并且在合作伙伴的支持下,当前对这一问题的解决方案,能为客户提供最佳的安全保障。

编辑点评:此次漏洞的最大受害者是数据中心以及企业用户,普通消费者受影响有限,然而数据中心是Intel大单生意的主要来源,这次损失可惨重了。

二维码