2018年1月2日に米国の技術のブログの登録CPU投機的実行チップレベルのセキュリティの脆弱性スペクターによってトリガ最初の開示から(中国名「ゴースト」、CVE-2017から5753およびCVE-2017から5715二つの変種があります)メルトダウン以降(中国名「吹き」、CVE-2017から5754のバリエーションがあります)、インテル、ARM、AMD、アップル、IBM、クアルコム、エヌビディアなどは独自のプロセッサを攻撃される危険性がある認めざるを得ません。
このほぼすべての半導体メーカーに広がっ基盤となるCPUアーキテクチャ設計「傷ドア」イベントによって引き起こされるセキュリティ、しかし、世界的なチップ業界の上司が - インテルが最も顕著な敗者となった「中国ビジネス」記者は指摘します。インテルの株価は1月11日に$ 42.50 /株に1月2日$ 46.85 /株から落ちている、市場価値は$ 20.4億縮小し、インテルのライバルAMDを観察している、同社の株価は1月2日から移動してきました米/シェア$ 10.98は11.93ドル/株の1月11日、または10%近くに上昇しました。
Intelと他のチップメーカー、Microsoftと他のオペレーティングシステムのベンダー、Appleと他の端末メーカーは、CPUのセキュリティに対応する '抜け穴のドア'措置は、 'パッチ'を指しているインテル中国の関連スポークスマンは、電話と電子メールで1月10日(2017年)12月上旬にOEMパートナーにファームウェアのアップデートを出荷し始めており、過去(過去)週にリリースされるアップデートでは、過去5年間で導入されたIntelプロセッサの90%以上がリリースされる予定です。 2018年1月(2018年)末にリリースされる予定で、他の製品のアップデートも引き続きリリースする予定です」Intelはチップリコールを行わないと強調した。
「脆弱性ゲート」が予定より早く漏れた
最大のセキュリティ侵害の歴史におけるコンピューティング機器の「ミレニアムバグ」としてのCPUの「抜け穴」評判のこのラウンド。
"ミレニアムバグ"とは何ですか?コンピュータ2000の問題はありますか?コンピュータのメモリは比較的小さいため、1980年は80年から1999年、80年は99-80年= 19歳など、2桁の数字で表されます。しかし、2000年には00-80 = -80歳になりました。これは「コンピュータ2000問題」と呼ばれています。
それがいかにCPU「脆弱性の扉」?華為技術専門家は「中国ビジネス」記者、人々は通常の実行に分けることができ、コンピュータに与えられた命令、例外は、元のアーキテクチャに従って、2を実行されることはありませんに語りましたデザイン、命令例外はキャッシュに残ります実行されず、任意の痕跡を残していないと考えられているので、あなたは、これらの命令メモリの機密情報を見ることができても、それは問題ではありませんが、今、メモリ内のこれらの命令かが訪問していることが確認されていますその痕跡を残し、そして攻撃者はユーザの機密情報をもたらす、利用することができます。
GoogleのProject Zeroの(ゼロプロジェクト)チームこれらのチップレベルの脆弱性のCPU投機的実行によって引き起こされた、とスペクター(ゴースト)とメルトダウン(ヒューズ)と命名し、試験によりスペクター(ゴースト)の効果が含ま確認リードを奪いましたインテル、AMD、ARMなど、チップ、メルトダウン(ヒューズ)の多くのメーカーは、主にIntelチップに影響を与えます。
そうProject Zeroのチームに検証することが異なるチップ・アーキテクチャの様々な関与これらのセキュリティリスクは、通知を取得すると、発行するため、「これらの脆弱性は当初、2017年6月にインテル、AMD、ARM会社に通知し、GoogleのProject Zeroのチームですその後、インテル、AMD、ARMおよび他のメーカーはすぐに一緒に来て、Googleの率いる秘密保持契約を締結し、かつ秘密保持契約の制約内での協力、問題の開示を確保するために到達するために、期限(2018年1月9日)に合意問題への解決策を見つける前に」インテルの中国の関係者は、「中国ビジネス」の記者に語った。
GoogleのProject Zeroチームだけでなく、2017年後半に複数の研究者がこれらの脆弱性を独自に発見しました。」これらの研究者は、これらのセキュリティ問題がProject Zeroチームによってチップメーカーに伝えられ、また、ソリューションの開発を強化し、開示時点が業界(2018年1月9日)によって合意されるまで、調査結果を機密にすることに合意した」とインテル中国の中国関係者は述べた。
しかし、開示時間(2018年1月9日)が近づくにつれて、2018年1月2日にCPUセキュリティの「脆弱性ゲート」が事前に開示されました。その後、Googleは2018年1月3日に関連情報を公開しました。 - Project Zeroチームは、2017年6月1日にIntel、AMD、ARMにSpectreに、2017年7月28日にIntelにMeltownに通知しました。
Baotuan deal
「Y2K」と似ていますが、このCPUセキュリティの「抜け穴」の根本原因は、基盤となるアーキテクチャの設計によるものですが、問題が公開されたときには世論の焦点は主にIntelにありました。
業界筋は、Intelが世界のチップ業界の上司、その製品の適用範囲であるので、スペクターとメルトダウン2件の脆弱性は、一方で、インテルに関連しているので、一方で「中国ビジネス」記者のインタビューに語りました影響を受けるユーザーグループは間違いなく最大です。
インテルは、インテルのセキュリティの「チップ・ゲートウェイ」として、メディアによって定義されたCPUのセキュリティ脆弱性に固執した。中国ビジネス・ジャーナルは、2018年1月3日、「インテルのセキュリティ研究成果への対応」インテルは、過去5年間で導入された大半のプロセッサ製品のアップデートをリリースしたという1月4日のアップデートをリリースしました。インテルは過去5年間に導入されたプロセッサの90%以上をカバーするアップデートを発表しています。
米オレゴン・ニュースによると、インテルのCEO Ke Keqi氏は、1月8日に社員に安全性を高めるための新しいインテル製品保証とセキュリティ部門を設立する旨の覚書を送った。オドキー氏は、1月9日のCES2018での開会演説で、「今週中には、この5年間で90%、残りの10%が1月末までに修復される」と強調した。
インテル、AMD、ARM、クアルコム、NVIDIA、Apple、IBMなどのメーカーも、「抜け落ち」は自社製品に影響を与えていると認め、システムパッチの更新を通じて解決できると語った。
例えば、ARMは「抜け穴のCortexファミリのプロセッサがたくさんある」という公式声明の中で述べて、IBM「を表し、GoogleがIBMを含むすべての潜在的な攻撃のリスクに対するチップマイクロプロセッサを発表しました影響を与えている、AMDは公式声明は、プロセッサのセキュリティ脆弱性の部品の存在を認めましたプロセッサのパワー・ファミリ「;クアルコムが言った」チップレベルのセキュリティの脆弱性製品の最近の露出のための影響を、同社が更新開発している「; NVIDIAは、チップのその部分は、スペクターの影響であると主張し、企業があることを認め、上述したメモリリークにつながることができます。」同時に、影響を受けるチップのセキュリティレベルを強化するために、セキュリティパッチを開発している、または開発しているとも述べています。
たとえば、アップルは公式サイトで「すべてのMacシステムとiOSデバイスが影響を受けるが、同時にAppleの公式ウェブサイトは「すべてのMac OSとiOSデバイスが影響を受ける」と認めているアップルはまた、「Safariをアップデートして攻撃を防御するが、この2つの脆弱性をさらに研究するために、iOS、macOS、tvOSのアップデートが新しくなるソリューション。
現在のクラスアクション
チップメーカ、オペレーティングシステムメーカー、および最終製品ベンダーは、このCPUセキュリティの「違反」の危機を「パッチを当てた」方法で解決しようとしているが、消費者は業界の対応に満足していない。
米国の技術のニュースサイトによるとEngadgetのは、CPUのセキュリティ「抜け穴ドア」イベントので、米国インテルは3件の訴訟、およびすべてのクラスアクションを被った、と報告した。Engadgetのは、これはより多くの消費者が原告の行為の仲間入りをすることができます害さ意味と考えています請求。AMDなどの他のメーカーに対して訴訟を抜け出すためには至っていません。
要するに、インテルを訴える消費者のための主な理由は、第二は、自分のコンピュータのパフォーマンスに影響を与える可能性が「パッチ」で、1が6ヶ月を経過した後にセキュリティリスクを開示するだけで、2つのレベルがあります。
インテル、中国の当局者は、これは肯定的な反応のための時間である、と述べ遅れ開示の問題については、今日の6ヶ月から学ぶための抜け穴があり、Intelは他のベンダーと連携して問題を解決する方法をスピードアップするために探してきた大型を作りましたアライアンステクノロジー企業は、すでにの協力、研究を開始し、対応計画を準備してきました。
デバイスの性能に影響を与える問題について、外国メディアは、人材育成の声明を引用し、彼はすべてのオペレーティングシステムの仕事に影響するCPUコアの修理は、ソフトウェアのほとんどは「一桁の下落」を実行するように見えると述べた(すなわち、10%以下)ネットワーキングの観点から、30%の最悪の性能低下。言い換えれば、セキュリティ「脆弱性の扉」を対処するための「パッチ」によっては、貧弱なパフォーマンス・コンピューティングの5%になりますしながら、5%の典型的な性能低下、 30%。
しかしIntelは、「メルトダウンとSpectreの2つのCPUの脆弱性がコンピュータのパフォーマンスに大きな影響を与えない」と電子メールで主張している。同社のSYSmarkテストでは、「パッチ」CPUのパフォーマンスが約2%〜14 % '。
実際には、「中国ビジネス」記者は、ペンティアムFDIVバグの1994年の発見として、過去にIntelとAMD CPUのバグのイベントや他のメーカーの多くの事件は、1997年のPentium FOOFバグイベントで発見された、インテルの2008年が見つかっことに注意しましたなどのMEの脆弱性だけでなく、AMDの天才(天才)TLBバグ、Ryzen(ダケントルルス)とSegfaultバグ、インテルペンティアムFDIVバグの中で本格的な欠陥で、Intelは当初、注意を払っていない、ちょうど証明した部分に決めましたCPUを交換するために、以降世論や市場の圧力によって強制的に、インテルは$ 475万ドルを失った後、影響を受けるすべてのCPUを思い出しました。後に、CPUのバグ事件よりは、IntelとAMDによって発見された影響を受けたユーザーは、「パッチを適用しますこの問題を解決する方法」。
セキュリティ「抜け穴ドア」、インテルが独自のチップを思い出すでしょうか?インテルの広報担当者は、簡単に解決するために、と言って1994年のPentium FDIVよりもメルトダウンとスペクターとして柯中国関連の再奇数国民を引用したが、インテルは、アドレスに始まりましたこれらの脆弱性は、インテルのメルトダウンはリコールとチップのスペクターの脆弱性の影響を受けることはありません "。