Intel处理器在近日被曝出存在“Meltdown”和“Spectre”两个大漏洞,并且在AMD和ARM处理器上已有风险,那么这起本年初硬件界的大事来龙去脉是怎样的?看完这篇你就明白了。
去年。Google旗下的Project Zero团队发现了一些由CPU“预测执行”(Speculative
Execution)引发的芯片级漏洞,“Spectre”(变体1和变体2:CVE-2017-5753和CVE-2017-5715)和“Meltdown”(变体3:CVE-2017-5754),这三个漏洞都是先天性质的架构设计缺陷导致的,可以让非特权用户访问到系统内存从而读取敏感信息。Google的Project Zero研究员还发现每一颗1995年后发布的处理器都会受到影响。据说Google早已经将这个漏洞反馈给Intel,并且打算在下周发布漏洞报告,但是科技媒体The Register却在1月2号提前曝出这个漏洞,经过其他媒体发酵后成了现在这个局面,到了后来Google也选择提前发表报告以降低用户安全风险。
2018年1月3日 英特尔发布第一次声明,对之前的媒体的报道做了回应,侧面承认了漏洞的存在,并做出三点承诺和建议: 1,英特尔认为,这些攻击不会损坏、修改或删除数据。英特尔相信其产品是世界上最安全的。 2,不只是英特尔,许多类型的计算设备(有来自许多不同供应商的处理器和操作系统)都会容易受到类似攻击。 3,英特尔已开始提供软件和固件更新来抵御这些破坏。与某些报道中指出的恰恰相反,不同负载受影响程度不同。对于一般的计算机用户来说影响并不显著,而且会随着时间的推移而减轻。 4,你可以联系操作系统供应商或系统制造商联系进行更新。 2018年1月4日 英特尔发布了第一次安全更新,称针对过去 5 年中推出的大多数处理器产品发布了更新。并承诺到下周末,英特尔发布的更新预计将覆盖过去 5 年内推出的90%以上的处理器产品。 在发布更新同时,英特尔拉来苹果、微软、亚马逊、谷歌等声明,近日公布的安全更新在实际部署中并不会影响性能 2018年1月8日 英特尔CEO科奇在CES 2018讲演,承认部分补丁可能导致性能下降。并说明将继续与整个产业界一起协作,逐渐把对这些性能下降带来的影响减少到最低。 2018年1月11日 英特尔收到用户反馈更新后重启和其他的问题,并声称正在解决。 2018年1月12日 英特尔正式发布公开信,对谷歌 Project Zero 团队的披露做出特别感谢。 2018年1月10日-2018年1月18日 英特尔陆续在官网公布了大量测试和报告,承认部分更新存在导致性能下降,但数据证明影响很小。 2018年1月23日 英特尔要求所有OEM
厂商、云服务提供商、系统制造商、软件供应商和最终用户停止部署旧版的更新,并且使用新的更新(如果可用)。 2018年1月26日 英特尔宣布将直接推出新一代处理器彻底解决“熔断”和“幽灵”漏洞。
总结:从以上时间线可以看出,英特尔最起有种大事化小,小事化了的感觉,试图将事件影响降至最小,但随着媒体及各方面爆炸式的信息报道和讨论,英特尔开始正面承认问题,并且感谢最初发现问题的谷歌团队,最终也披露了大量的漏洞信息和性能影响测试数据。
作为最终消费者,远景给大家的建议是: 1,使用漏洞检测工具检测是否存在漏洞,请点击最后链接下载。 2,及时更新OEM和OS的补丁和更新,但更新前请确保更新没有导致死机、重启等更多问题。 3,不要使用除intel和OEM以及操作系统厂商的第三方修复补丁,避免导致系统不稳定或者带来更大隐患。
更多请参阅: 微软:ADV180002 | 用于缓解推理执行边信道漏洞的指南 附件(点此下载): 1,英特尔白皮书:英特尔对预测执行侧信道的分析。 2,AMD白皮书。 3,漏洞检测工具下载。
4,《网络安全实践指南—CPU熔断和幽灵漏洞防范指引》(转:全国信息安全标准化技术委员会) |
