英特尔CPU内核安全漏洞风波愈演愈烈。
2018年1月5日中午,英特尔中国一位发言人通过电子邮件告诉《中国经营报》记者,该公司已经为基于英特尔芯片的个人电脑和服务器等各种计算机系统开发进行了更新,并且正在快速发布这些更新,从而保护这些系统免受谷歌Project Zero所披露的两种潜在攻击隐患(即Spectre和Meltdowm)。
“英特尔已经针对过去5年中推出的大多数处理器产品发布了更新。到下周末,英特尔发布的更新预计将覆盖过去5年推出的90%以上的处理器产品。”英特尔中国内部人士在邮件中表示。
科技博客The Register在2018年1月2日率先向外界公开了安全漏洞的存在。1月3日,谷歌向外界公布一份最近针对现有CPU安全缺陷的研究成果,披露了目前发现的最大安全缺陷,在最坏的情况下可以导致绕过本地安全防护,对CPU关键内存信息的任意访问。
在最新报道中披露称,是谷歌Project Zero的Jane Horn(简恩.霍恩)独立发现了两个重大安全漏洞,并将之命名为Meltdowm和Spectre。其中,Meltdown主要影响英特尔芯片,Spectre则影响包括英特尔、AMD、ARM在内的众多厂商的芯片产品。
谷歌2018年1月3日还通过博客披露,在Meltdowm和Spectre两大安全漏洞被公开之前,该公司已经于2017年6月1日就Spectre漏洞的相关发现向相关芯片厂商发出通知,随后又在7月28日将Meltdowm漏洞的相关发现报告给了相关厂商。
报道还披露,除谷歌的简恩.霍恩之外,奥地利格拉茨技术大学博士后研究员Daniel Gruss(丹尼尔.格鲁斯)也通过攻入自己计算机CPU内核、窃取其中保密信息的方式,发现了CPU安全漏洞。格鲁斯和他的同事随后也证实了两大CPU安全漏洞的存在。利用两大漏洞,黑客可以从台式机、笔记本、智能手机、云计算服务器中获取密码和照片等。目前,尚不清楚黑客是否有能力执行类似的攻击,因为利用Meltdowm和Spectre发起的攻击,都不会在日志文件中留下记录。
由于英特尔是全世界第一大芯片厂商,因此CPU安全漏洞被公布后舆论纷纷将矛头指向英特尔。因此英特尔2018年1月4日在一份公开声明中指出:“最近的报道指出,这些破坏是由‘漏洞’或者‘缺陷’造成的,并且是英特尔产品所独有的——这是不正确的。根据迄今的分析,许多类型的计算设备(来自许多不同供应商的处理器和操作系统)都会容易受到类似攻击。”
目前,英特尔、AMD、ARM等厂商都已经公开承认CPU安全漏洞的存在,并在迅速寻找补救措施。其中,英特尔在邮件中告诉《中国经营报》记者:“英特尔与许多其他技术公司(包括AMD、ARM控股和多个操作系统供应商)密切合作,以制定用于全行业的方法,迅速、有建设性地解决这一问题。”
在中国,主流云计算厂商已经针对CPU安全漏洞事件做出回应。其中阿里云方面称:“为解决处理器芯片的安全问题,阿里云将在北京时间2018年1月12日凌晨1点进行虚拟化底层的升级更新。届时,阿里云将采用热升级的方式,绝大多数客户不会受到影响。但个别客户可能需要手动重启,建议提前准备运营预案以及数据备份。”
腾讯云称:“将于2018年1月10日凌晨01︰00~05︰00通过热升级技术对硬件平台和虚拟化平台进行后端修复,其间客户业务不会受到影响。”
百度云方面称:“将于2018年1月12日零点进行热修复升级,此类修复不影响客户业务,但因为涉及的改动比较大,涉及CPU型号广,可能会存在有虚拟机无法热升级修复的情况,届时如果需要用户参与,会及时与用户协商时间,执行手动重启修复。”
