英特尔芯片漏洞影响几何
2018-01-11
近期曝出的英特尔芯片存安全漏洞事件因波及范围广而备受关注。那么,此次事件除了影响英特尔公司业绩外,还会造成怎样的影响?
攻击门槛较高 打补丁影响性能
英特尔公司首席执行官布赖恩·克尔扎尼奇8日在拉斯维加斯消费电子展开场主旨演讲中对芯片漏洞回应说,英特尔及业界其他厂商迄今均未获知任何基于这些潜在风险的恶意软件。普通用户确保自己数据安全的“最好方法”就是在系统提供更新补丁时及时安装。到本周末,英特尔发布的更新补丁预计将覆盖过去5年内推出的90%以上处理器产品,其余产品的补丁将于1月底前发布。
对芯片漏洞的危害性,英特尔法律政策部副总裁王洪彬接受新华社记者采访时说:“这是在极端情况下测试出来的。在极端情况下,这些潜在的攻击被用于恶意目的时,有可能不当地收集敏感数据,但不会损坏、修改或删除数据。”
王洪彬说,恶意软件要利用相关漏洞来危害系统安全“必须在本地系统中运行”,也就是说,相关漏洞“攻击门槛很高、很难被利用”。
不过,网络安全专家警告,使用云计算服务的企业可能尤其容易受到袭击。如果攻击者付费后得以进入这种服务的某个领域,他们有可能获得其他客户的信息,尽管目前还没有发现此类袭击。
美国国土安全部在一份声明中说,目前未发现“利用”这些漏洞的行为。声明还指出,打安全补丁是解决漏洞最好的保护办法,但打补丁后电脑性能可能下降多达30%,并且芯片漏洞是由中央处理器(CPU)架构而非软件引起,所以打补丁并不能彻底解决芯片漏洞。
美国卡内基-梅隆大学的一个安全研究也小组认为,彻底消除这些致命缺陷的唯一办法是更换硬件,更新操作系统只能“缓解”一些问题。
美国石英财经网站等媒体日前也披露,英特尔漏洞的修补过程可能导致全球个人电脑单机和联网性能下降。对此,英特尔公司9日发表声明承认,给芯片安全漏洞打补丁让使用其第八代“酷睿”处理器的电脑性能降低约6%。
微软公司当天也发布了最新性能影响评估结果,认为“幽灵”变种1和“崩溃”两个漏洞的补丁几乎不影响性能,但给“幽灵”变种2打补丁确实影响性能,但这些影响都是毫秒级,多数用户无法觉察。
不过,对使用2015年或之前的Haswell等老处理器架构的“视窗8”或“视窗7”电脑,一些基准测试显示出“更明显的减速”,且微软认为“一些用户将会注意到系统性能的降低”。
隐患不止英特尔 业界补救紧锣密鼓
事实上,这一安全问题并非近期才发生,涉及芯片也远不止英特尔。谷歌公司旗下“零点项目”安全研究者团队最早于2017年发现了问题所在。
“零点项目”是2014年7月由谷歌启动的互联网安全项目,成员主要由谷歌内部顶尖安全工程师组成,专门负责找出网络系统安全漏洞。2017年,该团队发现了3种由中央处理器底层架构采用“推测性执行”方法引发的攻击方式,将其中两种命名为“崩溃”,另一种命名为“幽灵”。
“零点项目”说,这些芯片级漏洞可以让非特权用户访问到系统内存,从而读取敏感信息。当这些漏洞被用于恶意目的时,可能会有从计算设备中收集敏感数据的潜在风险。
2017年6月,“零点项目”向英特尔、美国超威半导体(AMD)、英国阿姆控股(ARM)等芯片厂商通报了这些漏洞的情况。英特尔和超威芯片广泛应用于个人电脑和服务器上,而阿姆是安卓系统智能手机、平板电脑芯片的主要设计者。
2017年下半年,又有美国宾夕法尼亚大学、马里兰大学、奥地利格拉茨技术大学、澳大利亚阿德莱德大学等机构的其他几位研究者独立发现了上述攻击方法。对于他们的发现,这些研究者同意在“零点项目”和产业界协商的2018年1月9日披露时间点前予以保密。
1月3日,美国科技媒体《纪事》抢先披露了这一芯片安全问题。随后,“零点项目”紧急公布了研究结果,英特尔发布了产品说明、受影响处理器清单等信息。超威半导体也已通过官方声明承认部分处理器存在安全漏洞。阿姆控股也表示,许多采用该公司Cortex架构的处理器存在安全漏洞。
据介绍,这一架构技术被广泛用于采用安卓和iOS操作系统的设备、部分英伟达图睿和高通骁龙芯片以及索尼PSV游戏机等产品上。高通表示正在修复安全漏洞,但未指明受影响芯片。
目前,谷歌、亚马逊、微软等科技巨头纷纷采取应对行动。谷歌表示,该公司许多产品受漏洞威胁的可能性已降低。
对于这一广泛波及全球行业和用户的安全事件,中国国家信息安全漏洞共享平台4日发出安全预警,提示公众操作系统厂商已发布补丁更新,建议用户及时下载补丁进行更新,并建议广大用户密切跟踪该安全隐患的最新情况,对芯片厂商、操作系统厂商和安全厂商等发布的补丁及时跟踪测试,在做好全面审慎的评估工作基础上,制定修复工作计划,及时安装