位置:科技资讯 > 业界 > 英特尔承认芯片设计漏洞 安全风险不容小觑

英特尔承认芯片设计漏洞 安全风险不容小觑

科技资讯  2018年1月4日 20:56  来源:新浪科技
摘要:这次曝出的安全漏洞是由于芯片硬件的设计所致,存在于INTEL公司过去十年生产的芯片中,全球的每一台计算机几乎都会受到CPU漏洞的影响,无论是PC、手机或者数据中心。不但如此,该漏洞威胁到包括亚马逊、微软和Google在内的云计算厂家。

  这次曝出的安全漏洞是由于芯片硬件的设计所致,存在于INTEL公司过去十年生产的芯片中,全球的每一台计算机几乎都会受到CPU漏洞的影响,无论是PC、手机或者数据中心。不但如此,该漏洞威胁到包括亚马逊、微软和Google在内的云计算厂家。

  INTEL在声明中说:“最近的报道称该安全问题是由一种‘漏洞’引起的,而且只有INTEL芯片存在问题的说法不正确。基于目前分析,使用不同厂家处理器和操作系统的多种计算设备,都容易受到这类漏洞的攻击。”

  INTEL或早有察觉

  受安全漏洞消息影响,INTEL股价大跌3.4%。INTELCEO科再奇(Brian Krzanich)承认了芯片设计漏洞,但他表示此前对这一情况并不知情。

  不过,根据美国证交所的最新文件显示,科再奇曾在去年11月大举抛售总计89万股INTEL股票,其中有64.4万股是以13美元至26.7美元的买入价格行使期权,这一买入价比当时INTEL的交易价明显压低了。目前科再奇的持股数为25万股,这是INTELCEO规定持股数量的下限。

  尽管无法证明科再奇出售股票与INTEL这次曝出的芯片漏洞事件有关,但是如此大规模的抛售可能意味着公司对此并非毫不知情。

  根据第一财经记者获得的一份针对网络安全漏洞的报告文件显示,该漏洞至少去年年初就已经被发现,但INTEL直到今年年初才最终承认这一漏洞。这一确认及修复期间长达近一年。

  对此,上海交通大学网络空间安全学院孟魁博士对第一财经记者表示:“这次安全漏洞事件在这个时间点全面爆发可能有两个原因,第一是INTEL的修复效率低下,进展过慢,引起业界的施压;第二是因为漏洞的信息泄露时间过长可能将导致被攻击者利用。因此必须立即采取措施。”

  不过,目前针对漏洞本身的信息还没有完全透明,INTEL获得了一个“保护期”,正与下游软件公司寻求解决方案。

  不过此后GoogleProject Zero的团队表示,INTEL,AMD和ARM的芯片全部中招,包括微软Windows以及苹果iOS在内的系统都将受到波及。为了挽回可能造成的损失,芯片公司正在全力以赴打补丁。

  还没有爆发系统性风险

  具体而言,这次的漏洞分成两类,分别命名为Meltdown与Spectre,利用了芯片处理器的“乱序执行”机能与“分支预测”机能,让恶意代码得以从CPU当中偷取本应受保护的资料。

  这两个漏洞由Google的Jann Horn和第三方研究人员同时发现。与INTEL处理器和Arm相关的漏洞Meltdown是两者当中相对比较容易被利用的一个,因此严重性也要大得多。正常来说,每一个进程都是独立的,不应该看到其他进程的资料。但安全专家发现,因为“乱序执行”在处理资料时将所有进程混在一起,因此用特别编写的代码,是可以指定位置窃取其他进程的资料的。

  利用Spectre进行网络攻击的难度较高,它的原理是通过操作处理器的“分支预测”机能,欺骗受害进程将指定位置的资料放出来。但这个漏洞可能令INTEL处理器、AMD和ARM都中招,因此破坏范围更广。

  通过这些漏洞,黑客有可能对电脑发起攻击,并窃取存储在个人计算机以及数据中的信息,包括那些存储在云端的信息。除了窃取密码或者缓存文件以外,黑客还有可能利用这些漏洞来削弱其它安全系数能。

  虽然目前尚未利用这两个漏洞的案例发生,还没有爆发计算机系统性的风险,但是由于芯片漏洞对全球所有的计算机设备都可能造成影响,范围之广依然引起了人们的高度警觉。几乎所有的PC和数据中心的芯片全是由INTEL和AMD所提供的,而ARM芯片则用于大多数的智能手机。

  目前INTEL和其它公司已经在针对这些漏洞寻求最新的解决方案。为了避免个人电脑或者手机受到攻击,用户应该将系统软件更新至最新版本,例如微软的Windows系统和苹果的iOS系统。

  微软、亚马逊和Google等公司也在为其数据中心安装补丁,并更新了云服务。微软发表声明称:“我们已经关注到了这一行业性的问题,并在与芯片生产商共同研究方案和测试,来保护用户的数据安全。”

  亚马逊在一份发给亚马逊云AWS用户的声明中说道:“这一漏洞伴随着INTEL、AMD和Arm的现代芯片处理器架构已经存在了超过20年,应用于所有的服务器、桌面和移动设备。”不过亚马逊表示已经把所有操作系统的补丁都打上了。

  从长远来看,所有未来推出的处理器都需要从硬件上修正这两个漏洞。但目前来说,只能依靠给软件打补丁的方式来弥补,专家预测,打完补丁后可能会大幅影响市面上处理器的性能,影响程度最多高达30%。

  上海交通大学网络信息中心副主任姜开达对第一财经记者表示:“芯片的漏洞确实产生了一定的影响,但好在现在各个操作系统的补丁都陆续出来了,因此对个人用户的影响有限。但是对于企业用户而言,打补丁后一些应用的性能可能出现下降。”

  IEEE中国计算机学会高级会员、上海大学通信与信息工程学院教授王潮对第一财经记者表示:“互联网协议、芯片、操作系统的安全风险已经变得非常频繁,目前各类互联网业务的隐私保护才是需要真正引起重视的。”

  (记者来莎莎对此文亦有贡献)