De technologie blog américain The Register le 2 Janvier 2018, la première communication déclenchée par la CPU Speculative sécurité au niveau de la puce d'exécution vulnérabilités Specter (nom chinois « fantôme », il y a CVE-2017-5753 et CVE-2017-5715 deux variantes) depuis le Meltdown (nom chinois 'soufflé', il y a une variante de CVE-2017-5754), Intel, ARM, AMD, Apple, IBM, Qualcomm, Nvidia, etc., doivent admettre qu'il ya un risque d'être attaqué son propre processeur.
Bien que cette sécurité provoquée par l'événement « porte de défaut » de conception de l'architecture du processeur sous-jacente, étendu à presque tous les fabricants de puces, mais le « patron » industrie mondial des puces - Intel sont devenus les perdants les plus importants journaliste « China Business » noté. le cours de l'action d'Intel a chuté de 46,85 $ / Partager 2 Janvier à 42,50 $ / action le 11 Janvier, la valeur de marché a diminué à 20,4 milliards $ et observé Intel rival AMD, le cours de l'action de la société est passée de 2 Janvier de US 10,98 $ / action a augmenté à 11 Janvier de 11,93 dollars US / action, soit près de 10%.
Les mesures prises par Intel et d'autres fabricants de puces, les fournisseurs de systèmes d'exploitation tels que Microsoft, Apple et d'autres fabricants de terminaux à faire face à la sécurité du processeur « failles porte » pointent vers « Patch ». La porte-parole d'Intel en Chine 10 associée Janvier a dit à la « Chine sur le téléphone et e-mail affaires « journaliste » (2017) début Décembre, nous avons commencé à publier une mise à jour du firmware pour les partenaires OEM. nous attendons (dans le passé) mise à jour publiée dans une semaine de lancement couvrira plus de 90% des processeurs Intel au cours des cinq dernières années, le reste en (2018) publiée avant la fin de Janvier. Après cela, nous continuerons à publier des mises à jour pour les autres produits. « le porte-parole a souligné que la puce d'Intel ne sera pas rappelé. »
'Vulnerability Gate' a été divulgué avant la date prévue
Cette ronde de CPU 'échappatoires' réputation de l'équipement informatique «bug millénaire» dans l'histoire de la plus grande violation de la sécurité.
Qu'est-ce que le «bogue du millénaire»? Est le problème de l'ordinateur 2000. Parce que la mémoire de l'ordinateur est relativement petite, l'année est représentée par deux chiffres, comme 1980 est 80, à 1999, 80 ans né est 99-80 = 19 ans Mais en 2000, il est devenu 00-80 = -80 ans, c'est ce qu'on appelle le «problème informatique 2000».
Le processeur «Huawei porte» est comment est-il? Un expert de la technologie Huawei a déclaré au "China Business" journaliste, les instructions émises à l'ordinateur peuvent être divisés en normal peut être exécuté, l'exception n'est pas appliquée deux, selon la structure originale Les conceptions, les exceptions qui ne sont pas exécutées sont laissées dans le cache sans aucune trace, donc peu importe qu'elles puissent voir les informations confidentielles de la mémoire, mais il a maintenant été confirmé que les instructions sont toujours en mémoire Ce qui a laissé des traces d'indices, et peut être exploité par des attaquants, conduisant à la divulgation d'utilisateurs d'informations sensibles.
L'équipe Project Zero de Google a ouvert la voie à la découverte de ces vulnérabilités au niveau des puces déclenchées par l'exécution spéculative du processeur. Elle les a nommées Spectre et Meltdown et a été testée pour confirmer que les effets Spectre incluent Intel, AMD, ARM et de nombreux autres fournisseurs, y compris les produits de puces, Meltdown (fusible) est l'impact principal des puces Intel.
Ces vulnérabilités ont d'abord été signalées par l'équipe Google Project Zero à Intel, AMD et ARM en juin 2017. Comme ces risques de sécurité impliquent une variété d'architectures de puces différentes, elles sont notifiées et certifiées par l'équipe de Project Zero. Plus tard, Intel, AMD, ARM et autres fabricants se sont rapidement réunis, et dirigé par Google a signé un accord de confidentialité, et en vertu de l'accord de confidentialité de coopérer pour assurer que le délai convenu pour la divulgation de l'émission (9 janvier 2018) est arrivé Avant de trouver une solution au problème. "Intel parties prenantes Chine a déclaré au" China Business "journaliste.
Non seulement l'équipe Project Zero de Google, mais plusieurs autres chercheurs ont découvert indépendamment ces vulnérabilités dans la seconde moitié de 2017. "Ces chercheurs ont appris que ces problèmes de sécurité ont été communiqués aux fabricants de puces par l'équipe Project Zero, et l'industrie travaille ensemble Et accéléré le développement de la solution, ils ont également accepté de garder leurs résultats confidentiels jusqu'au moment de la divulgation convenu par l'industrie (9 janvier 2018) ", a déclaré un responsable chinois d'Intel Chine.
Cependant, à l'approche du délai de divulgation (le 9 janvier 2018), la «porte de vulnérabilité» de la CPU a été divulguée à l'avance le 2 janvier 2018. Google a ensuite divulgué les informations pertinentes le 3 janvier 2018. - L'équipe Project Zero a notifié Specter à Intel, AMD, ARM le 1er juin 2017 et Meltdown à Intel le 28 juillet 2017.
Baotuan
Bien que similaire au «Y2K», la cause première de cette «faille» de sécurité de l'UC est due à la conception de l'architecture sous-jacente, mais lorsque l'enjeu a été dévoilé, l'opinion publique se concentrait principalement sur Intel.
Un initié de l'industrie a déclaré au journaliste "China Business" interrogé que, d'une part parce que Spectre et Meltdown deux failles sont impliquées dans Intel, d'autre part parce que Intel est le «patron» de l'industrie mondiale des puces, sa couverture des produits, Les groupes d'utilisateurs affectés sont sans aucun doute les plus importants.
Pour plus de sécurité CPU « porte des vulnérabilités » est définie comme les médias Intel sécurité à puce « porte des failles », les aspects Intel très chagrinés. « China affaires » 3 Janvier, 2018 a reçu « la réponse d'Intel sur les résultats de la recherche sur la sécurité », a déclaré ces trous de sécurité ne sont pas propres aux produits Intel. 4 Janvier Intel a publié une déclaration de mise à jour d'Intel a publié une mise à jour au cours des cinq dernières années, l'introduction de la plupart des processeurs. week-end prochain (14 Janvier Day) Intel annonce des mises à jour qui couvriront plus de 90% des processeurs introduits au cours des cinq dernières années.
Selon le US Oregon News, le PDG d'Intel, Ke Keqi, a également envoyé un mémorandum aux employés le 8 janvier indiquant que l'entreprise allait mettre en place un nouveau service d'assurance et de sécurité des produits Intel pour améliorer la sécurité. Dans son discours d'ouverture au CES 2018 le 9 janvier, M. Oddky a de nouveau souligné que "cette semaine, l'assainissement couvrira 90% des 5 dernières années et les 10% restants seront réparés d'ici la fin du mois de janvier".
Après Intel, AMD, ARM, Qualcomm, NVIDIA, Apple, IBM et d'autres fabricants ont également admis que les «failles» ont un impact sur leurs propres produits, et a déclaré qu'il peut être résolu grâce à la mise à jour du correctif du système.
Par exemple, ARM a dit dans une déclaration publique que « il y a beaucoup de lacunes processeurs de la famille Cortex », déclaration officielle AMD a reconnu l'existence de failles de sécurité des parties du processeur, représente IBM » a un impact Google a annoncé le microprocesseur à puce pour tous les risques d'attaque potentiels, y compris IBM famille Power de processeurs «Qualcomm a dit: » l'influence de l'exposition récente des vulnérabilités de sécurité au niveau de la puce produits, la société développe mise à jour «affirme NVIDIA que sa partie de la puce est l'influence Specter, peut conduire à des fuites de mémoire entreprises mentionnées ci-dessus a reconnu être. » influence » porte de la vulnérabilité en même temps, a également dit qu'il développe ou ont des correctifs de sécurité pour améliorer le niveau de sécurité par l'impact de la puce.
Par exemple, Apple a reconnu sur le site officiel que "tous les systèmes Mac et les appareils iOS sont affectés, mais en même temps, le site officiel d'Apple a reconnu que" tous les appareils Mac OS et iOS sont concernés ". Apple a également affirmé que «va mettre à jour Safari pour prévenir les attaques, mais aussi pour une étude plus approfondie des deux vulnérabilités, sera publié dans les mises à jour iOS, macOS et tvOS nouveau Solution
L'action de groupe actuelle
Alors que les fabricants de puces, les fabricants de systèmes d'exploitation et les fournisseurs de produits finaux tentent de résoudre la crise de «violation de sécurité» de l'unité centrale de manière «corrigée», les consommateurs ne sont pas satisfaits de la réponse de l'industrie.
Selon le site de nouvelles de la technologie américaine Engadget a rapporté que, parce que la sécurité du processeur « échappatoires porte » événement, Intel aux Etats-Unis a subi trois procès, et toutes les actions de classe. Engadget estime que cela signifie plus de consommateurs lésés le demandeur peut joindre les rangs de conduite réclamation. n'a pas encore de sortir des poursuites contre d'autres fabricants tels que AMD.
En bref, la raison principale pour les consommateurs de poursuivre en justice Intel a deux niveaux, on est divulguer seulement des risques de sécurité après un délai de six mois, le second est « Patch » peut affecter les performances de leur ordinateur.
Pour le problème de la divulgation tardive, Intel officielle Chine a dit, il est temps pour réponse positive, il y a une échappatoire pour apprendre de 6 mois aujourd'hui, Intel a cherché à accélérer le moyen de résoudre le problème en collaboration avec d'autres fournisseurs a fait un grand Alliance des entreprises technologiques ont déjà commencé la coopération, la recherche et la préparation des plans d'intervention.
Les médias étrangers ont cité un développeur disant que la solution au cœur du processeur affecterait tous les systèmes d'exploitation et que la plupart des applications connaîtraient une "diapositive à un chiffre" (inférieure à 10%) pour les problèmes de performance logicielle. , La baisse des performances typique de 5%, tandis que les capacités de réseautage, la pire baisse de 30% de la performance, c'est «patch» pour résoudre les «failles» de sécurité se traduira par une réduction de 5% des performances du dispositif informatique 30%.
Cependant, Intel a insisté dans l'e-mail que «Meltdown et Spectre deux vulnérabilités de CPU n'aura pas un impact significatif sur les performances de l'ordinateur», le test SYSmark de la société a montré qu'après la baisse de performance du processeur «patch» d'environ 2% ~ 14 % '.
En fait, le journaliste « China Business » a noté que de nombreux incidents d'Intel et d'événements Bug CPU AMD et d'autres fabricants dans le passé, comme la découverte 1994 du Bug Pentium FDIV, découvert en 1997 Pentium FOOF événement Bug, Intel 2008 trouvé Les vulnérabilités ME, Bug AMD Phenom TLB, bug Ryzen Segfault, etc Parmi eux, le bug Intel Pentium FDIV est un défaut de fond, initialement Intel n'a pas de valeur, seulement décidé d'être partiellement certifié utilisateurs concernés pour remplacer l'unité centrale de traitement, et plus tard forcé par l'opinion publique et les pressions du marché, Intel a rappelé toutes les CPU affectée, puis a perdu 475 millions $. plus tard, plus de l'incident CPU bogue a été découvert par Intel et AMD sont « patcher 'Way pour résoudre le problème.
Pour la sécurité « failles porte », Intel va rappeler leurs propres puces? Le porte-parole d'Intel a cité la Chine Ke liée public re-bizarre comme disant, Meltdown et Specter que 1994 Pentium FDIV facile à résoudre, mais Intel a commencé à l'adresse ces vulnérabilités, Intel Meltdown ne seront pas affectés par le rappel et la vulnérabilité Specter des puces.