芯片漏洞堪比千年蟲(chóng) 影響面大能順利解決嗎?
根據(jù)國(guó)內(nèi)外媒體的披露,事件的來(lái)龍去脈是這樣的:
2017年,Google旗下的ProjectZero團(tuán)隊(duì)發(fā)現(xiàn)了一些由CPUSpeculativeExecution引發(fā)的芯片級(jí)漏洞,“Spectre”(變體1和變體2:CVE-2017-5753和CVE-2017-5715)和“Meltdown”(變體3:CVE-2017-5754),這三個(gè)漏洞都是先天性質(zhì)的架構(gòu)設(shè)計(jì)缺陷導(dǎo)致的,可以讓非特權(quán)用戶(hù)訪問(wèn)到系統(tǒng)內(nèi)存從而讀取敏感信息。
2017年6月1日,ProjectZero安全團(tuán)隊(duì)的一名成員在向英特爾和其他芯片生產(chǎn)商告知了這些漏洞的情況,而直到2018年1月2日,科技媒體TheRegister在發(fā)表的一篇文章中曝光了上述CPU漏洞,才讓芯片安全漏洞問(wèn)題浮出水面,也讓英特爾陷入一場(chǎng)突如其來(lái)的危機(jī),導(dǎo)致股價(jià)下跌。
芯片安全漏洞爆出后,引起了媒體和業(yè)界的廣泛關(guān)注:不但將在CPU上市場(chǎng)份額占絕對(duì)優(yōu)勢(shì)的英特爾拋到輿論漩渦中,也引起大家對(duì)安全問(wèn)題的擔(dān)憂。人們不禁要問(wèn),芯片漏洞問(wèn)題早已發(fā)現(xiàn),為什么到才被公布?是英特爾有意隱瞞嗎?
延期公布,為準(zhǔn)備應(yīng)對(duì)方案贏得了時(shí)間
從媒體披露的情況來(lái)看,1995年以來(lái)大部分量產(chǎn)的處理器均有可能受上述漏洞的影響,且涉及大部分通用操作系統(tǒng)。
雖然是英特爾為主,但ARM、高通、AMD等大部分主流處理器芯片也受到漏洞影響,IBMPOWER細(xì)節(jié)的處理器也有影響。采用這些芯片的Windows、Linux、macOS、Android等主流操作系統(tǒng)和電腦、平板電腦、手機(jī)、云服務(wù)器等終端設(shè)備都受上述漏洞的影響。
應(yīng)該說(shuō),這是跨廠商、跨國(guó)界、跨架構(gòu)、跨操作系統(tǒng)的重大漏洞事件,幾乎席卷了整個(gè)IT產(chǎn)業(yè)。
根據(jù)《華爾街日?qǐng)?bào)》報(bào)道稱(chēng),ProjectZero安全團(tuán)隊(duì)在2017年6月1日向英特爾和其他芯片生產(chǎn)商告知漏洞情況后,這7個(gè)月時(shí)間里,英特爾一直在努力聯(lián)合其他主流芯片廠商、客戶(hù)、合作伙伴,包括蘋(píng)果、谷歌、亞馬遜公司和微軟等在加緊解決這一問(wèn)題,一個(gè)由大型科技公司組成的聯(lián)盟正展開(kāi)合作,研究并準(zhǔn)備應(yīng)對(duì)方案。
據(jù)消息人士透露,該聯(lián)盟成員之間達(dá)成了保密協(xié)議,延遲公開(kāi),研究開(kāi)發(fā)解決方案,確保公布漏洞后“準(zhǔn)備就緒”。該消息人士還稱(chēng),原計(jì)劃1月9日公開(kāi),而由于科技媒體TheRegiste在1月2日就曝光了芯片漏洞問(wèn)題,導(dǎo)致英特爾等公司提前發(fā)布了相關(guān)公告。
在芯片漏洞曝光后的第二天,1月3日英特爾公布了最新安全研究結(jié)果及英特爾產(chǎn)品說(shuō)明,公布受影響的處理器產(chǎn)品清單。
1月4日,英特爾宣布,與其產(chǎn)業(yè)伙伴在部署軟件補(bǔ)丁和固件更新方面已取得重要進(jìn)展。英特爾已針對(duì)過(guò)去5年中推出的大多數(shù)處理器產(chǎn)品發(fā)布了更新,到這個(gè)周末,發(fā)布的更新預(yù)計(jì)將覆蓋過(guò)去5年內(nèi)推出的90%以上的處理器產(chǎn)品。
隨后,微軟、谷歌以及其他一些大型科技公司相繼發(fā)布關(guān)于漏洞的應(yīng)對(duì)方案,表示他們正在或已對(duì)其產(chǎn)品和服務(wù)提供更新。
微軟發(fā)布了一個(gè)安全更新程序,以保護(hù)使用英特爾和其他公司芯片的用戶(hù)設(shè)備;蘋(píng)果確認(rèn)所有的Mac系統(tǒng)和iOS設(shè)備都受到該漏洞影響,但已發(fā)布防御補(bǔ)丁;谷歌表示,已更新了大部分系統(tǒng)和產(chǎn)品,增加了防范攻擊的保護(hù)措施;高通表示,針對(duì)受到近期曝光的芯片級(jí)安全漏洞影響的產(chǎn)品,正在開(kāi)發(fā)安全更新。
有網(wǎng)絡(luò)安全專(zhuān)家認(rèn)為,雖然漏洞影響范圍廣泛,對(duì)于普通用戶(hù),大可不必過(guò)于恐慌,但受影響較大的主要會(huì)是云服務(wù)廠商。大部分云服務(wù)廠商也公布了應(yīng)對(duì)方案和時(shí)間表。
阿里云:將在1月12日凌晨1點(diǎn)采用熱升級(jí)的方式進(jìn)行虛擬化底層的更新。
騰訊云:將在1月10日凌晨01:00-05:00通過(guò)熱升級(jí)技術(shù)對(duì)硬件平臺(tái)和虛擬化平臺(tái)進(jìn)行后端修復(fù),對(duì)于極少量不支持熱升級(jí)方式的服務(wù)器,騰訊云安全團(tuán)隊(duì)將另行進(jìn)行通知。
百度云:將在虛擬機(jī)和物理機(jī)兩個(gè)層面進(jìn)行修復(fù),并將于2018年1月12日零點(diǎn)進(jìn)行熱修復(fù)升級(jí)。
華為云:正在對(duì)漏洞進(jìn)行分析,跟進(jìn)主流操作系統(tǒng)發(fā)布補(bǔ)丁的情況。
AWS:新的服務(wù)器默認(rèn)已經(jīng)有補(bǔ)丁。
AI商業(yè)認(rèn)為,幸好不是漏洞一發(fā)現(xiàn)就公布,否則,在沒(méi)有應(yīng)對(duì)方案出來(lái)就公布,會(huì)引起更大的安全擔(dān)憂或恐慌。而延遲到現(xiàn)在公布漏洞,英特爾、微軟等主要廠商已做好充足的準(zhǔn)備,相繼繼發(fā)布了補(bǔ)丁和更新方案。
芯片漏洞堪比“千年蟲(chóng)”,需要大家“在一起”
在整個(gè)IT發(fā)展史上,隨著技術(shù)發(fā)展所暴露出來(lái)的計(jì)算機(jī)軟件或設(shè)計(jì)漏洞可以說(shuō)是一種難以避免的現(xiàn)象。因?yàn)?,技術(shù)在發(fā)展,黑客技術(shù)也在不斷發(fā)展,多年前沒(méi)發(fā)現(xiàn)存在漏洞,多年后就可能發(fā)現(xiàn)存在漏洞。“你信或不信,漏洞可能就在那里,只是還沒(méi)人能夠發(fā)現(xiàn)”。
而一旦漏洞被發(fā)現(xiàn),只有積極應(yīng)對(duì)解決,才能避免損失,防患于未然。
芯片是整個(gè)信息系統(tǒng)的“心臟”和核心。解決這樣芯片級(jí)的、前所未有的,涉及面極廣的、高危級(jí)別的重大安全漏洞,難度系數(shù)可想而知!
這已不是芯片領(lǐng)頭廠商英特爾一家可以解決的,也不只是英特爾、ARM、AMD等芯片廠商應(yīng)該積極應(yīng)對(duì)的問(wèn)題。而且,根據(jù)英特爾、微軟等廠商公布的信息看,到現(xiàn)在還不能說(shuō)完全解決漏洞問(wèn)題。好在,到目前為止沒(méi)有一個(gè)實(shí)際被攻破的案例,各家公司都表示未發(fā)現(xiàn)利用上述漏洞發(fā)動(dòng)攻擊的證據(jù)。
AI商業(yè)認(rèn)為,這次芯片漏洞事件堪比當(dāng)年的“千年蟲(chóng)”問(wèn)題,已成為“一損俱損”的全行業(yè)事件,需要整個(gè)產(chǎn)業(yè)鏈的密切配合、共同解決。解決得好,大家都化險(xiǎn)為夷,而萬(wàn)一出現(xiàn)安全攻擊事件,損害的不僅是英特爾或哪一家廠商,而是整個(gè)產(chǎn)業(yè)。
這不僅讓人回想起當(dāng)年整個(gè)產(chǎn)業(yè)“集體”應(yīng)對(duì)“千年蟲(chóng)”問(wèn)題時(shí)的場(chǎng)景。
“千年蟲(chóng)”算是一種程序處理日期上的bug。由于其中的年份只使用兩位十進(jìn)制數(shù)來(lái)表示,因此當(dāng)系統(tǒng)進(jìn)行跨世紀(jì)的日期處理運(yùn)算時(shí),就會(huì)出現(xiàn)錯(cuò)誤的結(jié)果,進(jìn)而引發(fā)各種各樣的系統(tǒng)功能紊亂甚至崩潰。
90年代末,千年蟲(chóng)問(wèn)題是許多專(zhuān)家廣泛討論的話題,它可能引發(fā)飛機(jī)碰撞、輪船偏離航向、證券交易所崩盤(pán)等問(wèn)題,一旦出錯(cuò)后果不堪設(shè)想。
而千年蟲(chóng)問(wèn)題之所以基本平穩(wěn)地度過(guò),與政府和整個(gè)產(chǎn)業(yè)的重視和大力修復(fù)分不開(kāi)的,當(dāng)然也離不來(lái)媒體鋪天蓋地的宣傳。就算這樣,也有少數(shù)落后國(guó)家不夠重視或者資金技術(shù)不足,導(dǎo)致千年蟲(chóng)發(fā)作,一些政府機(jī)構(gòu)和電力系統(tǒng)運(yùn)行癱瘓。
所以,AI商業(yè)認(rèn)為,相關(guān)廠商、用戶(hù)和政府部門(mén)都應(yīng)該拿出當(dāng)年應(yīng)對(duì)“千年蟲(chóng)”問(wèn)題的態(tài)度來(lái)積極應(yīng)對(duì),防患于未然。
一要密切跟蹤該漏洞的最新情況,及時(shí)評(píng)估漏洞的影響。二要對(duì)芯片廠商、操作系統(tǒng)廠商和安全廠商等發(fā)布的補(bǔ)丁及時(shí)跟蹤測(cè)試,制定修復(fù)工作計(jì)劃,及時(shí)更新安裝。
我們相信,只要齊心協(xié)力,積極應(yīng)對(duì),芯片漏洞問(wèn)題最終也將是“虛驚一場(chǎng)”。
評(píng)論