今年新年剛過,爆出了幾乎席卷整個IT產業的芯片漏洞事件,讓人們剛剛放松的神經緊張起來。
根據國內外媒體的披露,九江服務器 東莞服務器,事件的來龍去脈是這樣的:
2017年,Google旗下的ProjectZero團隊發現了一些由CPU Speculative Execution引發的芯片級漏洞,“Spectre”(變體1和變體2:CVE-2017-5753和CVE-2017-5715)和“Meltdown”(變體3:CVE-2017-5754),這三個漏洞都是先天性質的架構設計缺陷導致的,可以讓非特權用戶訪問到系統內存從而讀取敏感信息。
2017年6月1日,Project Zero安全團隊的一名成員在向英特爾和其他芯片生產商告知了這些漏洞的情況,而直到2018年1月2日,科技媒體The Register在發表的一篇文章中曝光了上述CPU漏洞,才讓芯片安全漏洞問題浮出水面,也讓英特爾陷入一場突如其來的危機,導致股價下跌。
芯片安全漏洞爆出后,引起了媒體和業界的廣泛關注:不但將在CPU上市場份額占絕對優勢的英特爾拋到輿論漩渦中,也引起大家對安全問題的擔憂。人們不禁要問,芯片漏洞問題早已發現,為什么到才被公布?是英特爾有意隱瞞嗎?
延期公布,為準備應對方案贏得了時間
從媒體披露的情況來看,1995年以來大部分量產的處理器均有可能受上述漏洞的影響,且涉及大部分通用操作系統。
雖然是英特爾為主,但ARM、高通、AMD等大部分主流處理器芯片也受到漏洞影響,IBM POWER細節的處理器也有影響。采用這些芯片的Windows、Linux、macOS、Android等主流操作系統和電腦、平板電腦、手機、云服務器等終端設備都受上述漏洞的影響。
應該說,這是跨廠商、跨國界、跨架構、跨操作系統的重大漏洞事件,幾乎席卷了整個IT產業。
根據《華爾街日報》報道稱,Project Zero安全團隊在2017年6月1日向英特爾和其他芯片生產商告知漏洞情況后,這7個月時間里,英特爾一直在努力聯合其他主流芯片廠商、客戶、合作伙伴,包括蘋果、谷歌、亞馬遜公司和微軟等在加緊解決這一問題,一個由大型科技公司組成的聯盟正展開合作,研究并準備應對方案。
據消息人士透露,該聯盟成員之間達成了保密協議,延遲公開,研究開發解決方案,確保公布漏洞后“準備就緒”。該消息人士還稱,原計劃1月9日公開,而由于科技媒體The Registe在1月2日就曝光了芯片漏洞問題,導致英特爾等公司提前發布了相關公告。
在芯片漏洞曝光后的第二天,1月3日英特爾公布了最新安全研究結果及英特爾產品說明,公布受影響的處理器產品清單。
1月4日,英特爾宣布,與其產業伙伴在部署軟件補丁和固件更新方面已取得重要進展。英特爾已針對過去 5 年中推出的大多數處理器產品發布了更新,到這個周末,發布的更新預計將覆蓋過去 5 年內推出的 90% 以上的處理器產品。
隨后,微軟、谷歌以及其他一些大型科技公司相繼發布關于漏洞的應對方案,表示他們正在或已對其產品和服務提供更新。
微軟發布了一個安全更新程序,以保護使用英特爾和其他公司芯片的用戶設備;蘋果確認所有的Mac系統和iOS設備都受到該漏洞影響,但已發布防御補丁;谷歌表示,已更新了大部分系統和產品,增加了防范攻擊的保護措施;高通表示,針對受到近期曝光的芯片級安全漏洞影響的產品,正在開發安全更新。
有網絡安全專家認為,雖然漏洞影響范圍廣泛,對于普通用戶,大可不必過于恐慌,但受影響較大的主要會是云服務廠商。大部分云服務廠商也公布了應對方案和時間表。
阿里云:將在1月12日凌晨1點采用熱升級的方式進行虛擬化底層的更新。
騰訊云:將在1月10日凌晨01:00-05:00通過熱升級技術對硬件平臺和虛擬化平臺進行后端修復,對于極少量不支持熱升級方式的服務器,騰訊云安全團隊將另行進行通知。
百度云:將在虛擬機和物理機兩個層面進行修復,并將于2018年1月12日零點進行熱修復升級。
華為云:正在對漏洞進行分析,跟進主流操作系統發布補丁的情況。
AWS: 新的服務器默認已經有補丁。
AI商業認為,幸好不是漏洞一發現就公布,否則,在沒有應對方案出來就公布,會引起更大的安全擔憂或恐慌。 而延遲到現在公布漏洞,英特爾、微軟等主要廠商已做好充足的準備,相繼繼發布了補丁和更新方案。
芯片漏洞堪比“千年蟲”,需要大家“在一起”
在整個IT發展史上,隨著技術發展所暴露出來的計算機軟件或設計漏洞可以說是一種難以避免的現象。因為,技術在發展,黑客技術也在不斷發展,多年前沒發現存在漏洞,多年后就可能發現存在漏洞。“你信或不信,漏洞可能就在那里,只是還沒人能夠發現”。
而一旦漏洞被發現,只有積極應對解決,才能避免損失,防患于未然。
芯片是整個信息系統的“心臟”和核心。解決這樣芯片級的、前所未有的,涉及面極廣的、高危級別的重大安全漏洞,難度系數可想而知!
