自美国科技博客The Register于2018年1月2日率先披露由CPU Speculative Execution引发的芯片级安全漏洞Spectre (中文名 '幽灵' , 有CVE-2017-5753和CVE-2017-5715两个变体) , Meltdown (中文名 '熔断' , 有CVE-2017-5754一个变体) 以来, 英特尔, ARM, AMD, 苹果, IBM, 高通, 英伟达等都已承认自家处理器存在被攻击的风险.
尽管由CPU底层设计架构引发的此次安全 '漏洞门' 事件, 波及到几乎所有的芯片厂商, 但全球芯片业 '老大' ——英特尔成为最显著的输家. 《中国经营报》记者注意到, 英特尔的股价已经由1月2日的46.85美元/股下跌至1月11日的42.50美元/股, 市值缩水204亿美元. 又观英特尔的竞争对手AMD, 该公司股价已经从1月2日的10.98美元/股涨至1月11日的11.93美元/股, 涨幅接近10%.
英特尔等芯片厂商, 微软等操作系统厂商, 苹果等终端厂商应对此次CPU安全 '漏洞门' 的措施均指向 '打补丁' . 英特尔中国相关发言人1月10日在电话和邮件中告诉《中国经营报》记者, ' (2017年) 12月初我们开始向OEM合作伙伴发布固件更新. 我们预计 (过去) 一周内发布的更新将覆盖过去5年内推出的90%以上的英特尔处理器, 其余的将在 (2018年) 1月底前发布. 此后我们将继续发布其他产品的更新. ' 该发言人强调英特尔 '不会进行芯片召回' .
'漏洞门' 被提前泄露
此轮CPU '漏洞门' 被誉为 '千年虫' 之后计算设备发展史上最大的安全漏洞.
什么是 '千年虫' ? 也就是计算机2000年问题. 因为以前计算机内存比较小, 年份都是用两位数表示, 比如1980年就是80, 到1999年, 80年出生就是99-80=19岁, 但是在2000年, 变成00-80=-80岁了, 这就是所谓的 '计算机2000年问题' .
此次CPU '漏洞门' 又是怎么回事? 华为一位技术专家告诉《中国经营报》记者, 人们向计算机发出的指令分为正常可被执行, 异常不被执行两种, 按照最初的架构设计, 异常不被执行的指令会留在缓存里面, 同时被认为不会留下任何痕迹, 所以即使这些指令可以看到内存机密信息也没关系, 但现在已证实这些指令还是在曾经访问过的内存里面留下蛛丝马迹, 并且可以被攻击者利用, 从而导致用户敏感信息泄露.
谷歌旗下的Project Zero (零项目) 团队率先发现了由CPU Speculative Execution引发的这些芯片级漏洞, 并将之命名为Spectre (幽灵) 和Meltdown (熔断) , 并通过测试证实了Spectre (幽灵) 影响包括英特尔, AMD, ARM等在内的众多厂商的芯片产品, Meltdown (熔断) 则主要影响英特尔芯片.
'这些漏洞是谷歌公司的Project Zero团队最初在2017年6月向英特尔, AMD, ARM公司通报的. 因为这些安全风险涉及各种不同的芯片架构, 所以在获得Project Zero团队通报并对问题予以验证之后, 英特尔, AMD, ARM等厂商迅速走到一起, 并由谷歌牵头签订了保密协议, 同时在保密协议的约束下展开合作, 从而保证在约定的问题披露期限 (2018年1月9日) 到达之前找到解决问题的方案. ' 英特尔中国相关人士告诉《中国经营报》记者.
不仅是谷歌的Project Zero团队, 在2017年下半年又有数位研究者独立发现了这些安全漏洞. '这些研究者得知这些安全问题已经由Project Zero团队向芯片厂商做出通报, 产业界正在合作, 加紧开发解决方案之后, 也同意在产业界协商同意的披露时间点 (2018年1月9日) 之前对他们的发现予以保密. ' 英特尔中国相关人士表示.
但随着披露时间点 (2018年1月9日) 的临近, 此次CPU安全 '漏洞门' 还是在2018年1月2日被提前披露. 谷歌随后2018年1月3日也披露了相关情况——Project Zero团队在2017年6月1日向英特尔, AMD, ARM通报了Spectre, 2017年7月28日又向英特尔通报了Meltdown.
抱团应对
尽管与 '千年虫' 类似, 此次CPU安全 '漏洞门' 的根本原因是底层架构设计造成的, 但问题被披露以后, 舆论的矛头主要指向了英特尔.
一位业内人士在接受《中国经营报》记者采访时认为, 一方面是因为Spectre和Meltdown两个漏洞都涉及到了英特尔, 另一方面是因为英特尔是全球芯片行业的 '老大' , 其产品覆盖面, 受影响的用户群体无疑是最大的.
对于CPU安全 '漏洞门' 被媒体定义为英特尔芯片安全 '漏洞门' , 英特尔方面颇感委屈. 《中国经营报》记者2018年1月3日收到的《英特尔关于安全研究结果的回应》称, 这些安全漏洞 '不是英特尔产品所独有' . 1月4日, 英特尔发布更新声明, 表示 '英特尔已经针对过去5年中推出的大多数处理器产品发布了更新. 到下周末 (1月14日) , 英特尔发布的更新预计将覆盖过去5年中推出的90%以上的处理器产品. '
根据美国《俄勒冈人报》报道, 英特尔CEO柯再奇在1月8日还向员工发送了一份备忘录, 表明该公司将建立新的 '英特尔产品保证和安全' 部门, 加强安全工作. 柯再奇在1月9日的CES 2018开幕演讲中再次强调, '在本周内, 修复更新将覆盖到90%的近5年产品, 剩余的10%也会在1月底前修复. '
在英特尔之后, AMD, ARM, 高通, 英伟达, 苹果, IBM等厂商也陆续承认了此次 '漏洞门' 对自家的产品有影响, 并表示可以通过系统补丁更新进行解决.
比如, ARM在公开声明中表示 '许多Cortex系列处理器存在漏洞' ; AMD官方声明承认部分处理器存在安全漏洞; IBM表示 '谷歌公布的芯片潜在攻击隐患对所有微处理器都有影响, 包括IBM Power系列处理器' ; 高通表示, '针对近期曝光的芯片级安全漏洞影响的产品, 公司正在开发更新' ; 英伟达声称, 该公司部分芯片被Spectre影响, 可以引发内存泄露. 上述公司在承认受到 '漏洞门' 影响的同时, 也都表示正在或者已经开发安全补丁, 以提升受影响芯片的安全水平.
不仅是芯片厂商, 微软, 谷歌, 苹果等操作系统及终端厂商, 也陆续加入为用户 '打补丁' 的行列. 比如, 苹果在官方网站承认 '所有的Mac系统和iOS设备都受影响, 但到目前为止还没有利用该漏洞攻击消费者的实例' ; 苹果还声称, '将更新Safari以防范攻击, 同时也在对两种漏洞进行进一步的研究, 将在iOS, macOS以及tvOS更新中发布新的解决方案. '
现集体诉讼
尽管芯片厂商, 操作系统厂商, 终端产品厂商都在尝试用 '打补丁' 的方式解决此次CPU安全 '漏洞门' 危机, 但消费者对产业界的应对方式并不满意.
根据美国科技新闻网站Engadget报道, 因为CPU安全 '漏洞门' 事件, 英特尔在美国已遭遇三宗诉讼, 且全是集体诉讼. Engadget认为, 这意味着受到损害的更多消费者可以加入原告队伍进行索赔. 目前还未爆发针对AMD等其他厂商的诉讼事件.
简单来说, 消费者起诉英特尔的原因主要有两个层面, 一是时隔半年之后才披露安全隐患, 二是 '打补丁' 会影响自己电脑的性能表现.
对于延期披露的问题, 英特尔中国相关人士表示, 这是在为积极应对争取时间, 从得知漏洞存在到如今的6个月, 英特尔一直在联合其他厂商加快寻找问题解决之道, '一个由大型科技公司组成的联盟已经展开合作, 研究并准备应对方案' .
对于影响设备性能的问题, 外媒援引一名开发人员的说法称, 对CPU内核进行的修补将影响所有的操作系统工作, 大部分软件运行将出现 '一位数下滑' (即10%以下) , 典型性能下降幅度为5%, 而在联网功能方面, 最糟糕的性能下降幅度为30%. 也就是说, 通过 '打补丁' 解决安全 '漏洞门' , 将导致计算设备性能下降5%~30%.
但英特尔方面在邮件中坚持认为, 'Meltdown和Spectre两个CPU漏洞不会对电脑性能产生太大影响' , 该公司 'SYSmark测试显示, '打补丁' 之后的CPU性能降幅大约为2%~14%' .
事实上, 《中国经营报》记者注意到, 英特尔和AMD等厂商在过去发生过多起CPU Bug事件, 比如1994年发现的奔腾FDIV Bug, 1997年发现的奔腾FOOF Bug事件, 2008年发现的英特尔ME漏洞等, 以及AMD的Phenom (弈龙) TLB Bug, Ryzen (锐龙) Segfault Bug等. 其中英特尔奔腾FDIV Bug是一个不折不扣的缺陷, 最初英特尔并不重视, 只决定为部分被证明受影响的用户更换CPU, 后来迫于舆论和市场压力, 英特尔召回了所有受影响的CPU, 当时损失高达4.75亿美元. 后来被发现的多起CPU Bug事件, 英特尔和AMD都是通过 '打补丁' 的方式来解决问题的.
针对此次安全 '漏洞门' , 英特尔会不会召回自家芯片? 英特尔中国相关发言人援引柯再奇的公开说法称, Meltdown和Spectre要比1994年的奔腾FDIV容易解决, 而且英特尔已经开始在解决这些漏洞, 因此英特尔 '不会召回受Meltdown和Spectre漏洞影响的芯片产品' .