英特尔的芯片漏洞事件:问题存在已久
针对被曝光处理器存在严重的安全漏洞一事件, 英特尔 今日称已为基于英特尔芯片的各种计算机系统(包括个人电脑和服务器)开发了更新,并且正在快速发布这些更新,以保护这些系统免受谷歌Project Zero所报告的两种潜在攻击隐患(被称为Spectre和Meltdown)。英特尔称其与产业伙伴在部署软件补丁和固件更新方面已取得重要进展。
发布补丁软件,承认影响芯片性能,但能减轻
英特尔公告称,已经针对过去5年中推出的大多数处理器产品发布了更新。到下周末,英特尔发布的更新预计将覆盖过去5年内推出的90%以上的处理器产品。此外,许多操作系统供应商、公共云服务提供商、设备制造商和其他厂商也表示,他们正在或已对其产品和服务提供更新。系统更新程序可通过系统制造商、操作系统提供商和其他相关厂商获得。
对于“修正这一缺陷的补丁软件会影响到芯片性能”的说法,英特尔公告的说法是,“这些更新对不同工作负载的性能影响会有不同。对于一般的计算机用户来说,影响并不显著,而且会随着时间的推移而减轻。虽然对于某些特定的工作负载,软件更新对性能的影响可能一开始相对较高,但随着采取进一步后续的优化工作,包括更新部署后的识别、测试和软件更新改进,应该可以减轻这种影响。”
由此看来,英特尔从侧面承认补丁软件对芯片性能的影响,但是强调影响极小。
英特尔已与其它公司应对数个月
据华尔街日报报道,计算机芯片被曝存在安全漏洞,乍看之下似乎给英特尔带来了一场突如其来的危机,但在这背后它和其它的科技公司以及专家其实对付该问题已经有数个月。
今天,苹果成为了最新一家承认受到芯片漏洞影响的科技巨头。该公司表示,所有的iPhone、iPad和Mac电脑都受到影响,公司已经发布更新来修复漏洞。
英特尔、它的主要竞争对手AMD以及芯片设计厂商ARM本周均称,它们的部分处理器存在可能会被黑客利用的安全漏洞,这一问题影响电脑、智能手机和其它设备所使用的各种芯片,但到目前为止与任何的黑客攻击事件都无关联。
在芯片漏洞本周被曝光以前,芯片厂商们以及它们的客户和合作伙伴,包括苹果、Alphabet旗下的谷歌、亚马逊和微软,就已经在加紧解决问题。一个由大型科技公司组成的联盟在联手保护它们的服务器,并向用户的计算机和智能手机提供补丁。
所涉的漏洞可能会让黑客能够窃取诸如密码的敏感信息,影响范围包括来自各家公司的多数现代芯片。但主导服务器和PC芯片市场的英特尔受到了最为直接的影响,它的股价连续两天出现下跌。
去年6月1日,谷歌Project Zero安全团队的一位成员告知英特尔和其它的芯片厂商漏洞的问题。即便早早就知道,英特尔等公司也仍在努力解决安全漏洞。一个问题在于,将安全更新推送到数十亿部设备。另一个问题在于,部分安全补丁可能会减慢设备的运行,因为那些漏洞影响到意在提高处理器运行速度的芯片功能。
截至周四,各家企业都表示没有发现利用芯片漏洞的黑客攻击证据。要是黑客真那么做,那他们很可能会去攻击英特尔制造的芯片。那是因为该公司是全球第一大微处理器厂商,其芯片内在的漏洞至少可以追溯到10年前。
该问题引发了人们对英特尔产品安全性的怀疑,众多客户需要采取行动保护自身的系统。它也凸显了一点:芯片和运行于芯片的软件日益复杂化,让它们变得难以锁定,同时也使得它们会隐藏数年未被发现的漏洞。
“人们在重新评估现代硬件安全属性的核心原则。我们的很多假定都被违反了,需要重新进行评估。”安全研究者科恩·怀特(Kenn White)指出。
不过,在科技战略研究公司Tirias Research的吉姆·麦克格雷格(Jim McGregor)看来,英特尔受到的影响可能会很有限。“当你掌控很大一部分市场,你广泛地覆盖客户的时候,你能够逃脱惩罚。”他说道。
英特尔说,预计到下周末,它就能向过去5年推出的90%以上处理器提供软件更新。
其它的公司已经发布补丁。苹果称,除了它的移动设备和电脑以外,Apple TV电视机顶盒也受到影响,Apple Watch智能手表倒没受影响。它还说,为苹果Safari网络浏览器解决Spectre漏洞的补丁预计将在未来几天发布。
苹果指出,它的补丁不会造成设备运行变慢。谷歌周四也表示,它所开发的补丁“对设备性能的影响可以忽略。”英特尔称,对于普通用户来说,任何性能减退都会很有限,且会随着时间的推移而慢慢消失。它还说,公司计划在一年内重新设计芯片,预计此次安全问题不会带来任何的财务影响。
周四,英特尔股价下跌到44.43美元,较周二的收盘价(漏洞问题曝光以前)累计下跌5.2%。包括AMD和英伟达在内的其它芯片厂商股价则出现上扬。
问题存在已久
研究人员接触那些漏洞已经有一年多的时间。2016年8月,在拉斯维加斯的Black Hat网络安全大会上,两位研究者安德斯·福格(Anders Fogh)和丹尼尔·格拉斯(Daniel Gruss)演示了漏洞的早期迹象。福格在去年7月还就此发表博文,鼓励其他的研究者去展开调查。
与此同时,谷歌内部的安全研究团队Project Zero的雅恩·霍恩(Jann Horn)早已揭开该问题,并通知了英特尔。最终,来自全球各地的三个其它的研究团队就同样的问题联系英特尔,英特尔接着与他们一道交流和撰写论文。
其中一位研究者丹尼尔·格恩金(Daniel Genkin)指出,他们发现芯片的漏洞可追溯到2010年,并认为那些问题甚至可追溯到更久以前。“带来这种漏洞的通用架构原则有几十年历史了,”他说,“我没有去启动一台来自1995年的电脑探个究竟,但那些原则那时候就存在。”
福格说道,研究人员之所以同时发现同样的长期漏洞,是因为此前的研究打下了基础,其中包括他在2016年的演示。那为什么英特尔没有更早发现漏洞呢?“好问题,我还真回答不了。”他说。
英特尔数据中心工程副总裁史蒂芬·史密斯(Stephen Smith)指出,公司一直以来都在设法提升它的产品安全性。
监管文件显示,在英特尔与合作伙伴们一起努力解决问题期间,英特尔CEO布莱恩·科兹安尼克(Brian Krzanich)在去年11月出售他的公司股票和期权套现2400万美元,保留了25万股股票,从该公司最近的代理委托书来看,那是公司对他的最低持股量要求。
英特尔发言人表示,那次售股与此次安全问题无关,是依照预先安排的、带有自动出售时间表的计划。
英特尔和由科技公司和研究者组成的大联盟计划在1月9日对外披露漏洞问题。但本周,科技新闻网站The Register在跟踪研究该漏洞的补丁的程序员的在线讨论后率先进行了曝光。
英特尔、AMD和ARM事先通知了部分大客户,但The Register的报道让小公司措手不及。云计算提供商DigitalOcean的首席安全官约什·芬布鲁姆(Josh Feinblum)上周末从同行那里获悉漏洞问题。他说,他一直在尽可能快速地修复他的系统,对于目前的成果感到满意。
“Linux之父”林纳斯·托瓦兹(Linus Torvalds)批评英特尔没有承认问题,最初说芯片按照预想运行。“我认为,英特尔内部的某个人需要认真审视他们的CPU问题,承认它们存在问题,而不是撰写公关文章大肆宣称一切都如计划发展。”他在周三致Linux程序员的电子邮件中写道。
怀特表示,虽然英特尔在事件的披露方面做得乱七八糟,但考虑到事情的性质和影响范围,该公司“或许还算处理得不错。”他说道,研究人员称部分补丁的开发“涉及一些新的计算机科学领域。”“该项工作非常复杂,复杂到令人惊异。”
该事件让人们担心,基于那些新发现的漏洞展开的攻击,可能已经发生了好几年,却未被发现。部分技术人员认为,这种情况可能性不大,因为那需要有复杂的黑客技术。例如,谷歌方面称它没能找到办法去利用Android手机中的漏洞,但考虑到有人或许能够利用的风险,它还是为那些设备提供安全补丁。
其他人表示,如果白帽黑客——发现及修补安全漏洞的合法黑客——能够发现漏洞,那么为非作歹的黑帽黑客也能够发现。
怀特指出,随着漏洞问题如今被曝光,用户也要保护好自己。“这些是非常复杂的攻击,需要各种背景知识和理解。”他说,“但它一旦出现,就会转变成代码攻击。”
上海网信办发布芯片安全漏洞应急处置措施
1月5日,上海市网信办在《网信上海》公众号发布通知,通知表示,1月4日国家信息安全漏洞共享平台(CNVD)收录了CPU处理器内核的Meltdown漏洞(CNVD-2018-00303)和Spectre漏洞(CNVD-2018-00302和CNVD-2018-00304)。CNVD对该漏洞的综合评级为“高危”,涉及大部分通用操作系统。包括以英特尔为主,ARM、AMD等大部分主流处理器芯片;Windows、Linux、macOS、Android等主流操作系统都受上述漏洞的影响,尤其以英特尔的芯片受上述漏洞影响最为严重。同时,上海市网信办要求各单位启动网络安全应急预案,并采取应对措施,并公布了应急处置措施。
应急处置措施如下:
从市网信办所掌握的情况来,该漏洞几乎覆盖本市全部连接互联网的关键信息基础设施。市网信办接到漏洞通报后立即启动应急预案,已向本市各关键信息基础设施主管和运营单位发出预警通报,要求各单位启动网络安全应急预案,并采取以下应对措施:
一是密切跟踪该漏洞的最新情况,及时评估漏洞对本单位系统的影响。
二是对芯片厂商、操作系统厂商和安全厂商等发布的补丁及时跟踪测试,在做好全面审慎的评估工作基础上,制定修复工作计划,及时安装。
目前,操作系统厂商已经发布补丁更新,如Linux, Apple和Android,微软也已发布补丁更新。CNVD建议用户及时下载补丁进行更新,参考链接:
Linux:http://appleinsider.com/articles/18/01/03/apple-has-already-partially-implemented-fix-in-macos-for-kpti-intel-cpu-security-flaw
Android:https://source.android.com/security/bulletin/2018-01-01
Microsoft:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
Amazon:https://aws.amazon.com/de/security/security-bulletins/AWS-2018-013/
ARM:https://developer.arm.com/support/security-update
Google:https://googleprojectzero.blogspot.co.at/2018/01/reading-privileged-memory-with-side.html
Intel:https://newsroom.intel.com/news/intel-responds-to-security-research-findings/
Red Hat:https://access.redhat.com/security/vulnerabilities/speculativeexecution
Nvidia:https://forums.geforce.com/default/topic/1033210/nvidias-response-to-speculative-side-channels-cve-2017-5753-cve-2017-5715-and-cve-2017-5754/
Xen:https://xenbits.xen.org/xsa/advisory-254.html
三是进一步加强关键信息基础设施网络安全防护工作,加强网络安全防护和威胁情报收集工作,发生网络安全事件及时向市网信办报告。
上海市网信办将持续关注该漏洞的发展情况并酌情采取进一步的应对措施。