自美國科技博客The Register於2018年1月2日率先披露由CPU Speculative Execution引發的晶片級安全漏洞Spectre (中文名 '幽靈' , 有CVE-2017-5753和CVE-2017-5715兩個變體) , Meltdown (中文名 '熔斷' , 有CVE-2017-5754一個變體) 以來, 英特爾, ARM, AMD, 蘋果, IBM, 高通, 英偉達等都已承認自家處理器存在被攻擊的風險.
儘管由CPU底層設計架構引發的此次安全 '漏洞門' 事件, 波及到幾乎所有的晶片廠商, 但全球晶片業 '老大' ——英特爾成為最顯著的輸家. 《中國經營報》記者注意到, 英特爾的股價已經由1月2日的46.85美元/股下跌至1月11日的42.50美元/股, 市值縮水204億美元. 又觀英特爾的競爭對手AMD, 該公司股價已經從1月2日的10.98美元/股漲至1月11日的11.93美元/股, 漲幅接近10%.
英特爾等晶片廠商, 微軟等作業系統廠商, 蘋果等終端廠商應對此次CPU安全 '漏洞門' 的措施均指向 '打補丁' . 英特爾中國相關發言人1月10日在電話和郵件中告訴《中國經營報》記者, ' (2017年) 12月初我們開始向OEM合作夥伴發布韌體更新. 我們預計 (過去) 一周內發布的更新將覆蓋過去5年內推出的90%以上的英特爾處理器, 其餘的將在 (2018年) 1月底前發布. 此後我們將繼續發布其他產品的更新. ' 該發言人強調英特爾 '不會進行晶片召回' .
'漏洞門' 被提前泄露
此輪CPU '漏洞門' 被譽為 '千年蟲' 之後計算設備發展史上最大的安全漏洞.
什麼是 '千年蟲' ? 也就是計算機2000年問題. 因為以前計算機記憶體比較小, 年份都是用兩位數表示, 比如1980年就是80, 到1999年, 80年出生就是99-80=19歲, 但是在2000年, 變成00-80=-80歲了, 這就是所謂的 '計算機2000年問題' .
此次CPU '漏洞門' 又是怎麼回事? 華為一位技術專家告訴《中國經營報》記者, 人們向計算機發出的指令分為正常可被執行, 異常不被執行兩種, 按照最初的架構設計, 異常不被執行的指令會留在緩存裡面, 同時被認為不會留下任何痕迹, 所以即使這些指令可以看到記憶體機密資訊也沒關係, 但現在已證實這些指令還是在曾經訪問過的記憶體裡面留下蛛絲馬跡, 並且可以被攻擊者利用, 從而導致用戶敏感資訊泄露.
穀歌旗下的Project Zero (零項目) 團隊率先發現了由CPU Speculative Execution引發的這些晶片級漏洞, 並將之命名為Spectre (幽靈) 和Meltdown (熔斷) , 並通過測試證實了Spectre (幽靈) 影響包括英特爾, AMD, ARM等在內的眾多廠商的晶片產品, Meltdown (熔斷) 則主要影響英特爾晶片.
'這些漏洞是穀歌公司的Project Zero團隊最初在2017年6月向英特爾, AMD, ARM公司通報的. 因為這些安全風險涉及各種不同的晶片架構, 所以在獲得Project Zero團隊通報並對問題予以驗證之後, 英特爾, AMD, ARM等廠商迅速走到一起, 並由穀歌牽頭簽訂了保密協議, 同時在保密協議的約束下展開合作, 從而保證在約定的問題披露期限 (2018年1月9日) 到達之前找到解決問題的方案. ' 英特爾中國相關人士告訴《中國經營報》記者.
不僅是穀歌的Project Zero團隊, 在2017年下半年又有數位研究者獨立發現了這些安全漏洞. '這些研究者得知這些安全問題已經由Project Zero團隊向晶片廠商做出通報, 產業界正在合作, 加緊開發解決方案之後, 也同意在產業界協商同意的披露時間點 (2018年1月9日) 之前對他們的發現予以保密. ' 英特爾中國相關人士表示.
但隨著披露時間點 (2018年1月9日) 的臨近, 此次CPU安全 '漏洞門' 還是在2018年1月2日被提前披露. 穀歌隨後2018年1月3日也披露了相關情況——Project Zero團隊在2017年6月1日向英特爾, AMD, ARM通報了Spectre, 2017年7月28日又向英特爾通報了Meltdown.
抱團應對
儘管與 '千年蟲' 類似, 此次CPU安全 '漏洞門' 的根本原因是底層架構設計造成的, 但問題被披露以後, 輿論的矛頭主要指向了英特爾.
一位業內人士在接受《中國經營報》記者採訪時認為, 一方面是因為Spectre和Meltdown兩個漏洞都涉及到了英特爾, 另一方面是因為英特爾是全球晶片行業的 '老大' , 其產品覆蓋面, 受影響的用戶群體無疑是最大的.
對於CPU安全 '漏洞門' 被媒體定義為英特爾晶片安全 '漏洞門' , 英特爾方面頗感委屈. 《中國經營報》記者2018年1月3日收到的《英特爾關於安全研究結果的回應》稱, 這些安全漏洞 '不是英特爾產品所獨有' . 1月4日, 英特爾發布更新聲明, 表示 '英特爾已經針對過去5年中推出的大多數處理器產品發布了更新. 到下周末 (1月14日) , 英特爾發布的更新預計將覆蓋過去5年中推出的90%以上的處理器產品. '
根據美國《俄勒岡人報》報道, 英特爾CEO柯再奇在1月8日還向員工發送了一份備忘錄, 表明該公司將建立新的 '英特爾產品保證和安全' 部門, 加強安全工作. 柯再奇在1月9日的CES 2018開幕演講中再次強調, '在本周內, 修複更新將覆蓋到90%的近5年產品, 剩餘的10%也會在1月底前修複. '
在英特爾之後, AMD, ARM, 高通, 英偉達, 蘋果, IBM等廠商也陸續承認了此次 '漏洞門' 對自家的產品有影響, 並表示可以通過系統補丁更新進行解決.
比如, ARM在公開聲明中表示 '許多Cortex系列處理器存在漏洞' ; AMD官方聲明承認部分處理器存在安全漏洞; IBM表示 '穀歌公布的晶片潛在攻擊隱患對所有微處理器都有影響, 包括IBM Power系列處理器' ; 高通表示, '針對近期曝光的晶片級安全漏洞影響的產品, 公司正在開發更新' ; 英偉達聲稱, 該公司部分晶片被Spectre影響, 可以引發記憶體泄露. 上述公司在承認受到 '漏洞門' 影響的同時, 也都表示正在或者已經開發安全補丁, 以提升受影響晶片的安全水平.
不僅是晶片廠商, 微軟, 穀歌, 蘋果等作業系統及終端廠商, 也陸續加入為用戶 '打補丁' 的行列. 比如, 蘋果在官方網站承認 '所有的Mac系統和iOS設備都受影響, 但到目前為止還沒有利用該漏洞攻擊消費者的實例' ; 蘋果還聲稱, '將更新Safari以防範攻擊, 同時也在對兩種漏洞進行進一步的研究, 將在iOS, macOS以及tvOS更新中發布新的解決方案. '
現集體訴訟
儘管晶片廠商, 作業系統廠商, 終端產品廠商都在嘗試用 '打補丁' 的方式解決此次CPU安全 '漏洞門' 危機, 但消費者對產業界的應對方式並不滿意.
根據美國科技新聞網站Engadget報道, 因為CPU安全 '漏洞門' 事件, 英特爾在美國已遭遇三宗訴訟, 且全是集體訴訟. Engadget認為, 這意味著受到損害的更多消費者可以加入原告隊伍進行索賠. 目前還未爆髮針對AMD等其他廠商的訴訟事件.
簡單來說, 消費者起訴英特爾的原因主要有兩個層面, 一是時隔半年之後才披露安全隱患, 二是 '打補丁' 會影響自己電腦的性能表現.
對於延期披露的問題, 英特爾中國相關人士表示, 這是在為積極應對爭取時間, 從得知漏洞存在到如今的6個月, 英特爾一直在聯合其他廠商加快尋找問題解決之道, '一個由大型科技公司組成的聯盟已經展開合作, 研究並準備應對方案' .
對於影響設備性能的問題, 外媒援引一名開發人員的說法稱, 對CPU內核進行的修補將影響所有的作業系統工作, 大部分軟體運行將出現 '一位數下滑' (即10%以下) , 典型性能下降幅度為5%, 而在聯網功能方面, 最糟糕的性能下降幅度為30%. 也就是說, 通過 '打補丁' 解決安全 '漏洞門' , 將導致計算設備性能下降5%~30%.
但英特爾方面在郵件中堅持認為, 'Meltdown和Spectre兩個CPU漏洞不會對電腦性能產生太大影響' , 該公司 'SYSmark測試顯示, '打補丁' 之後的CPU性能降幅大約為2%~14%' .
事實上, 《中國經營報》記者注意到, 英特爾和AMD等廠商在過去發生過多起CPU Bug事件, 比如1994年發現的奔騰FDIV Bug, 1997年發現的奔騰FOOF Bug事件, 2008年發現的英特爾ME漏洞等, 以及AMD的Phenom (弈龍) TLB Bug, Ryzen (銳龍) Segfault Bug等. 其中英特爾奔騰FDIV Bug是一個不折不扣的缺陷, 最初英特爾並不重視, 只決定為部分被證明受影響的用戶更換CPU, 後來迫於輿論和市場壓力, 英特爾召回了所有受影響的CPU, 當時損失高達4.75億美元. 後來被發現的多起CPU Bug事件, 英特爾和AMD都是通過 '打補丁' 的方式來解決問題的.
針對此次安全 '漏洞門' , 英特爾會不會召回自家晶片? 英特爾中國相關發言人援引柯再奇的公開說法稱, Meltdown和Spectre要比1994年的奔騰FDIV容易解決, 而且英特爾已經開始在解決這些漏洞, 因此英特爾 '不會召回受Meltdown和Spectre漏洞影響的晶片產品' .