Seit dem US-Technologie-Blog The Register erstmals am 2. Januar 2018 Chip-Level-Sicherheitslücken durch CPU Speculative Execution Spectre (chinesischer Name "Ghost" verursacht offenbart, gibt es CVE-2017-5753 und CVE-2017-5715 zwei Varianten) , Meltdown (eine Variante von CVE-2017-5754), Intel, ARM, AMD, Apple, IBM, Qualcomm, NVIDIA und andere haben zugegeben, dass ihre Prozessoren in Gefahr sind angegriffen zu werden.
Trotz der Sicherheitslücken, die durch die CPU zugrunde liegende Design-Architektur ausgelöst werden, die fast alle Chiphersteller betrifft, ist Intel, der weltweit führende Chiphersteller, zum prominentesten Verlierer geworden. "China Business-Reporter bemerkte: Intel Aktienkurs ist von $ 46,85 / Aktie am 2. Januar auf $ 42,50 / Aktie am 11. Januar gesunken, der Marktwert ist um 20,4 Milliarden US-Dollar geschrumpft. Auch Intel-Rivalen AMD, der Aktienkurs des Unternehmens vom 2. Januar betrachten 10,98 US-Dollar / Aktie stiegen auf 11,93 US-Dollar am 11. Januar / Aktie, oder fast 10%.
Intel und andere Chiphersteller, Microsoft und andere Betriebssystemhersteller, Apple und andere Terminalhersteller reagieren auf die CPU-Sicherheit "Schlupflöcher Tür" Maßnahmen deuten auf "Patch" Intel Chinas relevanten Sprecher am 10. Januar im Telefon und E-Mail sagte China (2017) Wir haben mit der Auslieferung von Firmware-Updates für OEM-Partner Anfang Dezember begonnen und erwarten, dass die in der vergangenen (vergangenen) Woche veröffentlichten Updates mehr als 90% der in den letzten fünf Jahren eingeführten Intel-Prozessoren abdecken werden Wird vor Ende Januar 2018 (2018) erscheinen, und wir werden weiterhin Updates zu anderen Produkten veröffentlichen. "Der Sprecher betonte, dass Intel nicht" Chip-Rückruf "wird.
"Vulnerability Gate" wurde vorzeitig geleakt
Diese Runde der "Schlupflöcher" der CPU hat ihren Ruf als "Millennium-Bug" -Computer in der Geschichte der größten Sicherheitslücke.
Was ist der "Millennium Bug"? Ist das Computer 2000 Problem. Da der Computer Speicher relativ klein ist, wird das Jahr durch zwei Ziffern dargestellt, wie 1980 ist 80 bis 1999, 80 Jahre geboren ist 99-80 = 19 Jahre alt Aber im Jahr 2000 wurde es 00-80 = -80 Jahre alt. Dies wird als "Computer 2000 Problem" bezeichnet.
Die CPU "Schlupflöcher Tür" ist, wie ist es? Ein Huawei Technologieexperte sagte der "China Business" -Reporter, Menschen ausgegebene Anweisungen an den Computer kann in normal geteilt werden kann ausgeführt werden, die Ausnahme ist nicht implementiert zwei, nach der ursprünglichen Struktur Designs, Ausnahmen, die nicht ausgeführt werden, werden im Cache ohne irgendeine Spur gelassen, es ist also egal, ob sie die vertraulichen Speicherinformationen sehen können, aber es wurde nun bestätigt, dass die Anweisungen noch im Speicher sind Sie hinterlassen Spuren von Hinweisen und können von Angreifern ausgenutzt werden, was zur Offenlegung sensibler Informationsnutzer führt.
Das Project Zero-Team bei Google war Vorreiter bei der Entdeckung dieser Schwachstellen auf Chip-Ebene, die durch CPU Speculative Execution ausgelöst wurden, und nannte sie Spectre und Meltdown, um zu testen, ob die Spectre-Effekte enthalten sind Intel, AMD, ARM und viele andere Anbieter, einschließlich Chip-Produkte, Meltdown (Sicherung) ist die wichtigste Auswirkung von Intel-Chips.
Diese Sicherheitslücken wurden erstmals im Juni 2017 vom Google Project Zero-Team an Intel, AMD und ARM gemeldet. Da diese Sicherheitsrisiken eine Vielzahl verschiedener Chiparchitekturen umfassen, werden sie vom Project Zero-Team benachrichtigt und zertifiziert Später, Intel, AMD, ARM und andere Hersteller kamen schnell zusammen, und unter der Führung von Google unterzeichnete eine Vertraulichkeitsvereinbarung, und unter der Vertraulichkeitsvereinbarung zu kooperieren, um sicherzustellen, dass die vereinbarte Frist für die Offenlegung der Ausgabe (9. Januar 2018) angekommen Bevor Sie eine Lösung für das Problem finden. "Intel Stakeholder sagte der" China Business "-Reporter.
Nicht nur das Project Zero-Team von Google, sondern mehrere weitere Forscher haben diese Sicherheitslücken in der zweiten Jahreshälfte 2017 unabhängig voneinander entdeckt. "Diese Forscher haben erfahren, dass diese Sicherheitsprobleme den Projektentwicklern von Project Zero mitgeteilt wurden und die Branche zusammenarbeitet Sie haben die Entwicklung der Lösung intensiviert und sich darüber hinaus bereit erklärt, ihre Ergebnisse bis zum Zeitpunkt der Offenlegung, den die Branche (9. Januar 2018) vereinbart hat, geheim zu halten ", sagte ein chinesischer Vertreter von Intel China.
Als sich der Zeitpunkt der Offenlegung (9. Januar 2018) näherte, wurde das Schwachstellengate der CPU-Sicherheit im Voraus am 2. Januar 2018 bekannt gegeben. Google gab daraufhin die relevanten Informationen am 3. Januar 2018 bekannt. - Das Project Zero-Team hat Spectre am 1. Juni 2017 an Intel, AMD, ARM und am 28. Juli 2017 an Intel gemeldet.
Baotuan-Deal
Die Ursache für diese "Schlupflöcher" der CPU-Sicherheit liegt zwar, ähnlich wie bei "Y2K", in der Gestaltung der zugrundeliegenden Architektur, aber bei der Offenlegung des Themas lag der Schwerpunkt der öffentlichen Meinung hauptsächlich bei Intel.
Ein Insider der Branche sagte der "China Business" -Reporter interviewt, dass einerseits, weil Spectre und Meltdown zwei Schlupflöcher bei Intel beteiligt sind, andererseits, weil Intel der 'Boss' der Welt-Chip-Industrie ist, seine Produktabdeckung, Betroffene Nutzergruppen sind zweifellos die größten.
Intel klammerte sich an CPU-Sicherheitsschwachstellen, die von den Medien als "Chip-Gateways" in Intels Sicherheit definiert wurden. Der "China Business Journal" -Korrespondent sagte am 3. Januar 2018: "Die Antwort von Intel auf Sicherheitsforschungsergebnisse" "Diese Sicherheitsverletzungen betreffen nicht nur Intel-Produkte." Intel veröffentlichte am 4. Januar ein Update, das besagt, dass Intel Updates für die meisten Prozessorprodukte veröffentlicht hat, die in den letzten fünf Jahren eingeführt wurden Day) Intel kündigt Updates an, die mehr als 90% der in den letzten fünf Jahren eingeführten Prozessoren abdecken werden.
Laut den US Oregon News hat Ke Keqi, CEO von Intel, am 8. Januar ein Memorandum an die Mitarbeiter verschickt, in dem es heißt, dass das Unternehmen eine neue Abteilung für Produktsicherheit und -sicherheit von Intel einrichten wird, um die Sicherheit zu erhöhen. In seiner Eröffnungsrede auf der CES 2018 am 9. Januar betonte Oddky erneut, dass "innerhalb dieser Woche die Sanierung 90% der letzten 5 Jahre abdecken wird und die restlichen 10% bis Ende Januar repariert werden."
Nach Intel, AMD, ARM, Qualcomm, NVIDIA, Apple, IBM und anderen Herstellern haben sie auch zugegeben, dass die "Schlupflöcher" Auswirkungen auf ihre eigenen Produkte haben, und sagten, dass sie durch das System-Patch-Update gelöst werden können.
Zum Beispiel sagte ARM in einer öffentlichen Erklärung, dass ‚es viele Lücken Cortex Familie Prozessoren ist‘, AMD offizielle Erklärung bestätigte die Existenz von Sicherheitslücken Teilen des Prozessors, stellt IBM hat einen Einfluss Google den Chip-Mikroprozessor für alle potenziellen Angriffsrisiken angekündigt, darunter IBM Power-Prozessorfamilie ‚; Qualcomm sagte:‘ Einfluss für die jüngsten Enthüllungen der Chip-Level-Sicherheitslücken Produkte, das Unternehmen aktualisiert entwickelt. ‚; NVIDIA behauptet, dass sein Teil des Chips ist Specter Einfluss kann oben genannte Unternehmen zu Speicherlecks führen zugelassen zu sein‘ Gleichzeitig gaben sie an, dass sie Sicherheits-Patches entwickelt haben oder entwickelt haben, um das Sicherheitsniveau der betroffenen Chips zu erhöhen.
Nicht nur ist der Chip-Hersteller, Microsoft, Google, Apple und andere Betriebssysteme und Endgeräte-Hersteller haben die Reihen der Nutzer Patch ‚verbunden in. Zum Beispiel, Apple in der offiziellen Website zugelassen von‘ alle Mac und iOS-Geräte sind betroffen, aber die bisher gibt es keine Instanz von Angriff Ausnutzung der Anfälligkeit der Verbraucher, Apple behauptet auch, dass "die aktualisierte Safari-Angriffe zu verhindern, sondern auch zwei Arten von Schwachstellen für eine weitere Studie wird in iOS, macOS und tvOS neues Update veröffentlicht Lösungen. "
Jetzt eine Sammelklage
Obwohl die Chip-Hersteller, Anbieter von Betriebssystemen, Endgerätehersteller versuchen, die ‚Patch‘ Art und Weise zu verwenden, um die CPU-Sicherheit ‚Lücken Tür‘ Krise, aber Verbraucher Reaktion auf die Art und Weise zu lösen, die Industrie nicht erfüllt ist.
Engadget Nach Angaben der US-Technologie Nachrichten-Website berichtete, dass, weil die CPU Sicherheit ‚Schlupflöcher Tür‘ Veranstaltung, Intel in den Vereinigten Staaten drei Klagen erlitten haben, und alle Klassen Aktionen. Engadget glaubt, dass dies mehr Verbraucher bedeutet, dass die Kläger geschadet kann die Reihen der Führung teilnehmen Anspruch. hat noch Klagen gegen andere Hersteller wie AMD auszubrechen.
Kurz gesagt, der Hauptgrund für die Verbraucher Intel klagen zwei Ebenen, eine Sicherheitsrisiken nach Ablauf von sechs Monaten nur offen legen, die zweite ist ‚Patch‘ die Leistung ihres Computers beeinträchtigen können.
Für das Problem der verzögerten Offenlegung, sagte Intel China offiziell, dies ist die Zeit für eine positive Antwort, gibt es eine Lücke von heute 6 Monaten zu lernen, wurde Intel sucht den Weg zu beschleunigen, das Problem in Verbindung mit anderen Herstellern zu lösen ein großen Eine Allianz von Technologieunternehmen hat zusammengearbeitet, um die Lösung zu untersuchen und vorzubereiten. "
Ausländische Medien zitierten einen Entwickler mit der Aussage, dass die Behebung des CPU-Kerns sich auf alle Betriebssysteme auswirkt und die meisten Softwareanwendungen eine "eindimensionale Folie" (dh unter 10%) für Probleme mit der Softwareleistung aufweisen. , Die typische Leistungseinbuße von 5%, während die Netzwerkfähigkeiten, die schlechteste Leistungseinbuße von 30%, das heißt, "Patch", um die Sicherheitslücken zu lösen, wird zu einer Reduzierung der Rechenleistung von 5% ~ führen 30%.
Intel beharrte jedoch in der E-Mail darauf, dass "Meltdown und Spectre zwei CPU-Schwachstellen keinen wesentlichen Einfluss auf die Leistung des Computers haben". Der SYSmark-Test des Unternehmens zeigte, dass die CPU-Leistung nach dem 'Patch' um 2% sank % '.
In der Tat, die "China Business" -Reporter darauf hingewiesen, dass Intel und AMD und andere Hersteller in der Vergangenheit aufgetreten sind CPU Bug-Ereignisse, wie der Pentium FIVIV Bug gefunden 1994 Pentium FOOF Bug gefunden im Jahr 1997, Intel entdeckt im Jahr 2008, Intel ME Sicherheitslücken, AMD Phenom TLB Fehler, Ryzen Segfault Bug, usw. Unter ihnen ist der Intel Pentium FDIV Bug ein Fehler und Intel hat es anfangs nicht wertgeschätzt und nur beschlossen es teilweise zu beweisen Betroffene Anwender die CPU zu ersetzen, dann von der öffentlichen Meinung und Marktdruck gezwungen, Intel erinnerte alle betroffenen CPU, wenn der Verlust von bis zu 475 Millionen US-Dollar.Nach vielen CPU-Bug-Ereignisse entdeckt werden kann, sind Intel und AMD durch den Patch "Möglichkeit, das Problem zu lösen.
Für die Sicherheit ‚Lücken Tür‘ wird Intel ihre eigenen Chips erinnern? Intel-Sprecher zitiert Ke China verbundene Wieder ungerade Öffentlichkeit mit den Worten: Meltdown und Specter als 1994 Pentium FDIV leicht zu lösen, aber Intel hat Adresse begonnen diese Sicherheitsanfälligkeiten, Intel ‚Meltdown wird nicht durch den Rückruf und Specter Verwundbarkeit von Chips betroffen sein.‘