芯片漏洞堪比千年蟲(chóng) 影響面大能順利解決嗎？

　　根據(jù)國(guó)內(nèi)外媒體的披露，事件的來(lái)龍去脈是這樣的：

　　2017年，Google旗下的ProjectZero團(tuán)隊(duì)發(fā)現(xiàn)了一些由CPUSpeculativeExecution引發(fā)的芯片級(jí)漏洞，“Spectre”(變體1和變體2：CVE-2017-5753和CVE-2017-5715)和“Meltdown”(變體3：CVE-2017-5754)，這三個(gè)漏洞都是先天性質(zhì)的架構(gòu)設(shè)計(jì)缺陷導(dǎo)致的，可以讓非特權(quán)用戶訪問(wèn)到系統(tǒng)內(nèi)存從而讀取敏感信息。

　　2017年6月1日，ProjectZero安全團(tuán)隊(duì)的一名成員在向英特爾和其他芯片生產(chǎn)商告知了這些漏洞的情況，而直到2018年1月2日，科技媒體TheRegister在發(fā)表的一篇文章中曝光了上述CPU漏洞，才讓芯片安全漏洞問(wèn)題浮出水面，也讓英特爾陷入一場(chǎng)突如其來(lái)的危機(jī)，導(dǎo)致股價(jià)下跌。

　　芯片安全漏洞爆出后，引起了媒體和業(yè)界的廣泛關(guān)注：不但將在CPU上市場(chǎng)份額占絕對(duì)優(yōu)勢(shì)的英特爾拋到輿論漩渦中，也引起大家對(duì)安全問(wèn)題的擔(dān)憂。人們不禁要問(wèn)，芯片漏洞問(wèn)題早已發(fā)現(xiàn)，為什么到才被公布?是英特爾有意隱瞞嗎?

　　延期公布，為準(zhǔn)備應(yīng)對(duì)方案贏得了時(shí)間

　　從媒體披露的情況來(lái)看，1995年以來(lái)大部分量產(chǎn)的處理器均有可能受上述漏洞的影響，且涉及大部分通用操作系統(tǒng)。

　　雖然是英特爾為主，但ARM、高通、AMD等大部分主流處理器芯片也受到漏洞影響，IBMPOWER細(xì)節(jié)的處理器也有影響。采用這些芯片的Windows、Linux、macOS、Android等主流操作系統(tǒng)和電腦、平板電腦、手機(jī)、云服務(wù)器等終端設(shè)備都受上述漏洞的影響。

　　應(yīng)該說(shuō)，這是跨廠商、跨國(guó)界、跨架構(gòu)、跨操作系統(tǒng)的重大漏洞事件，幾乎席卷了整個(gè)IT產(chǎn)業(yè)。

　　根據(jù)《華爾街日?qǐng)?bào)》報(bào)道稱，ProjectZero安全團(tuán)隊(duì)在2017年6月1日向英特爾和其他芯片生產(chǎn)商告知漏洞情況后，這7個(gè)月時(shí)間里，英特爾一直在努力聯(lián)合其他主流芯片廠商、客戶、合作伙伴，包括蘋(píng)果、谷歌、亞馬遜公司和微軟等在加緊解決這一問(wèn)題，一個(gè)由大型科技公司組成的聯(lián)盟正展開(kāi)合作，研究并準(zhǔn)備應(yīng)對(duì)方案。

　　據(jù)消息人士透露，該聯(lián)盟成員之間達(dá)成了保密協(xié)議，延遲公開(kāi)，研究開(kāi)發(fā)解決方案，確保公布漏洞后“準(zhǔn)備就緒”。該消息人士還稱，原計(jì)劃1月9日公開(kāi)，而由于科技媒體TheRegiste在1月2日就曝光了芯片漏洞問(wèn)題，導(dǎo)致英特爾等公司提前發(fā)布了相關(guān)公告。

　　在芯片漏洞曝光后的第二天，1月3日英特爾公布了最新安全研究結(jié)果及英特爾產(chǎn)品說(shuō)明，公布受影響的處理器產(chǎn)品清單。

　　1月4日，英特爾宣布，與其產(chǎn)業(yè)伙伴在部署軟件補(bǔ)丁和固件更新方面已取得重要進(jìn)展。英特爾已針對(duì)過(guò)去5年中推出的大多數(shù)處理器產(chǎn)品發(fā)布了更新，到這個(gè)周末，發(fā)布的更新預(yù)計(jì)將覆蓋過(guò)去5年內(nèi)推出的90%以上的處理器產(chǎn)品。

　　隨后，微軟、谷歌以及其他一些大型科技公司相繼發(fā)布關(guān)于漏洞的應(yīng)對(duì)方案，表示他們正在或已對(duì)其產(chǎn)品和服務(wù)提供更新。

　　微軟發(fā)布了一個(gè)安全更新程序，以保護(hù)使用英特爾和其他公司芯片的用戶設(shè)備;蘋(píng)果確認(rèn)所有的Mac系統(tǒng)和iOS設(shè)備都受到該漏洞影響，但已發(fā)布防御補(bǔ)丁;谷歌表示，已更新了大部分系統(tǒng)和產(chǎn)品，增加了防范攻擊的保護(hù)措施;高通表示，針對(duì)受到近期曝光的芯片級(jí)安全漏洞影響的產(chǎn)品，正在開(kāi)發(fā)安全更新。

　　有網(wǎng)絡(luò)安全專家認(rèn)為，雖然漏洞影響范圍廣泛，對(duì)于普通用戶，大可不必過(guò)于恐慌，但受影響較大的主要會(huì)是云服務(wù)廠商。大部分云服務(wù)廠商也公布了應(yīng)對(duì)方案和時(shí)間表。

　　阿里云：將在1月12日凌晨1點(diǎn)采用熱升級(jí)的方式進(jìn)行虛擬化底層的更新。

　　騰訊云：將在1月10日凌晨01：00-05：00通過(guò)熱升級(jí)技術(shù)對(duì)硬件平臺(tái)和虛擬化平臺(tái)進(jìn)行后端修復(fù)，對(duì)于極少量不支持熱升級(jí)方式的服務(wù)器，騰訊云安全團(tuán)隊(duì)將另行進(jìn)行通知。

　　百度云：將在虛擬機(jī)和物理機(jī)兩個(gè)層面進(jìn)行修復(fù)，并將于2018年1月12日零點(diǎn)進(jìn)行熱修復(fù)升級(jí)。

　　華為云：正在對(duì)漏洞進(jìn)行分析，跟進(jìn)主流操作系統(tǒng)發(fā)布補(bǔ)丁的情況。

　　AWS：新的服務(wù)器默認(rèn)已經(jīng)有補(bǔ)丁。

　　AI商業(yè)認(rèn)為，幸好不是漏洞一發(fā)現(xiàn)就公布，否則，在沒(méi)有應(yīng)對(duì)方案出來(lái)就公布，會(huì)引起更大的安全擔(dān)憂或恐慌。而延遲到現(xiàn)在公布漏洞，英特爾、微軟等主要廠商已做好充足的準(zhǔn)備，相繼繼發(fā)布了補(bǔ)丁和更新方案。

　　芯片漏洞堪比“千年蟲(chóng)”，需要大家“在一起”

　　在整個(gè)IT發(fā)展史上，隨著技術(shù)發(fā)展所暴露出來(lái)的計(jì)算機(jī)軟件或設(shè)計(jì)漏洞可以說(shuō)是一種難以避免的現(xiàn)象。因?yàn)?，技術(shù)在發(fā)展，黑客技術(shù)也在不斷發(fā)展，多年前沒(méi)發(fā)現(xiàn)存在漏洞，多年后就可能發(fā)現(xiàn)存在漏洞。“你信或不信，漏洞可能就在那里，只是還沒(méi)人能夠發(fā)現(xiàn)”。

　　而一旦漏洞被發(fā)現(xiàn)，只有積極應(yīng)對(duì)解決，才能避免損失，防患于未然。

　　芯片是整個(gè)信息系統(tǒng)的“心臟”和核心。解決這樣芯片級(jí)的、前所未有的，涉及面極廣的、高危級(jí)別的重大安全漏洞，難度系數(shù)可想而知!

　　這已不是芯片領(lǐng)頭廠商英特爾一家可以解決的，也不只是英特爾、ARM、AMD等芯片廠商應(yīng)該積極應(yīng)對(duì)的問(wèn)題。而且，根據(jù)英特爾、微軟等廠商公布的信息看，到現(xiàn)在還不能說(shuō)完全解決漏洞問(wèn)題。好在，到目前為止沒(méi)有一個(gè)實(shí)際被攻破的案例，各家公司都表示未發(fā)現(xiàn)利用上述漏洞發(fā)動(dòng)攻擊的證據(jù)。

　　AI商業(yè)認(rèn)為，這次芯片漏洞事件堪比當(dāng)年的“千年蟲(chóng)”問(wèn)題，已成為“一損俱損”的全行業(yè)事件，需要整個(gè)產(chǎn)業(yè)鏈的密切配合、共同解決。解決得好，大家都化險(xiǎn)為夷，而萬(wàn)一出現(xiàn)安全攻擊事件，損害的不僅是英特爾或哪一家廠商，而是整個(gè)產(chǎn)業(yè)。

　　這不僅讓人回想起當(dāng)年整個(gè)產(chǎn)業(yè)“集體”應(yīng)對(duì)“千年蟲(chóng)”問(wèn)題時(shí)的場(chǎng)景。

　　“千年蟲(chóng)”算是一種程序處理日期上的bug。由于其中的年份只使用兩位十進(jìn)制數(shù)來(lái)表示，因此當(dāng)系統(tǒng)進(jìn)行跨世紀(jì)的日期處理運(yùn)算時(shí)，就會(huì)出現(xiàn)錯(cuò)誤的結(jié)果，進(jìn)而引發(fā)各種各樣的系統(tǒng)功能紊亂甚至崩潰。

　　90年代末，千年蟲(chóng)問(wèn)題是許多專家廣泛討論的話題，它可能引發(fā)飛機(jī)碰撞、輪船偏離航向、證券交易所崩盤(pán)等問(wèn)題，一旦出錯(cuò)后果不堪設(shè)想。

　　而千年蟲(chóng)問(wèn)題之所以基本平穩(wěn)地度過(guò)，與政府和整個(gè)產(chǎn)業(yè)的重視和大力修復(fù)分不開(kāi)的，當(dāng)然也離不來(lái)媒體鋪天蓋地的宣傳。就算這樣，也有少數(shù)落后國(guó)家不夠重視或者資金技術(shù)不足，導(dǎo)致千年蟲(chóng)發(fā)作，一些政府機(jī)構(gòu)和電力系統(tǒng)運(yùn)行癱瘓。

　　所以，AI商業(yè)認(rèn)為，相關(guān)廠商、用戶和政府部門(mén)都應(yīng)該拿出當(dāng)年應(yīng)對(duì)“千年蟲(chóng)”問(wèn)題的態(tài)度來(lái)積極應(yīng)對(duì)，防患于未然。

　　一要密切跟蹤該漏洞的最新情況，及時(shí)評(píng)估漏洞的影響。二要對(duì)芯片廠商、操作系統(tǒng)廠商和安全廠商等發(fā)布的補(bǔ)丁及時(shí)跟蹤測(cè)試，制定修復(fù)工作計(jì)劃，及時(shí)更新安裝。

　　我們相信，只要齊心協(xié)力，積極應(yīng)對(duì)，芯片漏洞問(wèn)題最終也將是“虛驚一場(chǎng)”。