Uma vez que o blog de tecnologia dos EUA, The Register, divulgou pela primeira vez em 2 de janeiro de 2018 vulnerabilidades de segurança de nível de chip causadas pelo CPU Speculative Execution Specter (nome chinês "fantasma", existem CVE-2017-5753 e CVE-2017-5715 duas variantes) , Meltdown (uma variante do CVE-2017-5754), Intel, ARM, AMD, Apple, IBM, Qualcomm, NVIDIA e outros admitiram que seus processadores correm o risco de serem atacados.
Apesar das lacunas de segurança desencadeadas pela arquitetura de projeto subjacente da CPU, que afeta quase todos os fabricantes de chips, a Intel, líder mundial em indústria de chips, tornou-se o vencedor mais prominente. "O jornalista da China Business notou, O preço das ações da Intel caiu de US $ 46,85 / ação em 2 de janeiro para US $ 42,50 / ação em 11 de janeiro, o valor de mercado encolheu em 20,4 bilhões de dólares dos EUA. Também olhe para o rival AMD da Intel, o preço da ação da empresa a partir de 2 de janeiro 10.98 dólares dos EUA / ação subiu para 11,93 dólares americanos em 11 de janeiro / ação, ou quase 10%.
Medidas tomadas pela Intel e outros fabricantes de chips, fornecedores de sistemas operacionais como Microsoft, Apple e outros fabricantes de terminais lidar com a 'porta lacunas' de segurança CPU estão apontando para 'remendo'. Intel China porta-voz associada 10 jan disse ao "China no telefone e e-mail negócio "repórter", (2017) o início de dezembro, começamos a liberar uma atualização de firmware para parceiros OEM. esperamos que (no passado) atualização lançada dentro de uma semana do lançamento irá abranger mais de 90% dos processadores Intel nos últimos cinco anos, o resto vai em (2018), publicado antes do final de janeiro. Depois disso, vamos continuar a lançar atualizações para outros produtos. 'o porta-voz destacou que o chip da Intel não vai ser lembrado.'
'Vulnerability Gate' foi vazado antes do cronograma
Essa rodada de reputação de falhas da CPU como o equipamento de computação do "milênio bug" na história da maior violação de segurança.
O que é o "bug do milênio"? O problema do computador 2000. Como a memória do computador é relativamente pequena, o ano é representado por dois dígitos, como 1980 é 80, para 1999, 80 anos nascidos é 99-80 = 19 anos , Mas em 2000, tornou-se 00-80 = -80 anos. Isso é chamado de 'Computer 2000 Problem.'
A CPU 'janela de lacunas' é como é? Um especialista em tecnologia da Huawei disse ao repórter "China Business", as pessoas emitidas instruções para o computador podem ser divididas em normal podem ser executadas, a exceção não é implementada duas, de acordo com a estrutura original Designs, as exceções que não são executadas são deixadas no cache sem qualquer rastreamento, por isso não importa se eles podem ver a informação confidencial da memória, mas agora foi confirmado que as instruções ainda estão na memória O que deixou traços de pistas e pode ser explorado por atacantes, levando à divulgação de usuários de informações sensíveis.
A equipe do Projeto Zero no Google foi pioneira na descoberta dessas vulnerabilidades em nível de chip desencadeadas pela CPU Speculative Execution e os chamou de Spectre e Meltdown e testou para confirmar que os efeitos do Specter incluem Intel, AMD, ARM e muitos outros fornecedores, incluindo produtos de chip, Meltdown (fusível) é o principal impacto dos chips Intel.
Essas vulnerabilidades foram relatadas pela equipe do Google Project Zero pela primeira vez para a Intel, AMD e ARM em junho de 2017. Como esses riscos de segurança envolvem uma variedade de arquiteturas de chips diferentes, eles são notificados e certificados pela equipe do Projeto Zero Mais tarde, a Intel, a AMD, a ARM e outros fabricantes se juntaram rapidamente e lideraram o Google assinaram um acordo de confidencialidade e, sob o acordo de confidencialidade, cooperar para garantir que o prazo acordado para divulgação da questão (9 de janeiro de 2018) chegou Antes de encontrar uma solução para o problema. "As partes interessadas da Intel China informaram o repórter" China Business ".
Não só a equipe do Projeto Zero do Google, mas vários pesquisadores mais descobriram essas vulnerabilidades no segundo semestre de 2017. "Esses pesquisadores descobriram que essas questões de segurança foram comunicadas aos fabricantes de chips pela equipe do Projeto Zero e a indústria está trabalhando em conjunto E intensificou o desenvolvimento da solução, eles também concordaram em manter suas conclusões confidenciais até o ponto de tempo de divulgação acordado pela indústria (9 de janeiro de 2018) ", disse um funcionário chinês da Intel China.
No entanto, à medida que o tempo de divulgação (9 de janeiro de 2018) se aproximava, o "portão de vulnerabilidade" da segurança da CPU foi divulgado antecipadamente em 2 de janeiro de 2018. O Google divulgou posteriormente as informações relevantes em 3 de janeiro de 2018. - A equipe do Projeto Zero notificou Specter para Intel, AMD, ARM em 1 de junho de 2017 e Meltdown para a Intel em 28 de julho de 2017.
Acordo Baotuan
Embora semelhante ao "Y2K", a causa raiz desta "lacuna" de segurança da CPU é causada pelo design da arquitetura subjacente. No entanto, quando o problema foi divulgado, o foco da opinião pública foi principalmente na Intel.
Um membro da indústria informou que o repórter "China Business" entrevistou que, por um lado, porque as duas brechas de Specter e Meltdown estão envolvidas na Intel, por outro lado, porque a Intel é o "chefe" da indústria de chips, a cobertura de seus produtos, Os grupos de usuários afetados são, sem dúvida, os maiores.
A Intel agarrou-se às vulnerabilidades de segurança da CPU definidas pela mídia como "gateways de chips" na segurança da Intel. "Correspondente do" China Business Journal "disse em 3 de janeiro de 2018," Resposta da Intel aos Resultados da Pesquisa de Segurança " "Essas brechas de segurança não são exclusivas dos produtos da Intel". A Intel lançou uma atualização em 4 de janeiro, afirmando que a Intel lançou atualizações para a maioria dos produtos processadores introduzidos nos últimos cinco anos. No próximo fim de semana (14 de janeiro Dia) A Intel está anunciando atualizações que irão cobrir mais de 90% dos processadores introduzidos nos últimos cinco anos.
De acordo com os Estados Unidos da América do Oregon, o CEO da Intel, Ke Keqi, também enviou um memorando aos funcionários em 8 de janeiro, afirmando que a empresa estabelecerá um novo departamento de segurança e segurança de produtos da Intel para melhorar a segurança. Em seu discurso de abertura na CES 2018, em 9 de janeiro, Oddky ressaltou novamente que "dentro desta semana, a remediação cobrirá 90% dos últimos 5 anos e os 10% restantes serão reparados até o final de janeiro".
Após a Intel, a AMD, a ARM, a Qualcomm, a NVIDIA, a Apple, a IBM e outros fabricantes também admitiram que as "lacunas" têm um impacto em seus próprios produtos e disseram que podem ser resolvidas através da atualização do patch do sistema.
Por exemplo, a ARM disse em uma declaração pública que "muitas famílias de processadores Cortex existem vulnerabilidades, a declaração oficial da AMD reconheceu que alguns dos processadores têm vulnerabilidades de segurança, a IBM disse que o potencial ataque de potenciais do Google em todos os microprocessadores tem impacto, incluindo a IBM O processador da série Power ", a Qualcomm disse:" para a recente exposição de falhas de segurança no nível do chip no produto, a empresa está desenvolvendo atualizações ", a NVIDIA alegou que parte do chip pelo Specter pode causar vazamentos de memória. As empresas acima são admitidas em ' Ao mesmo tempo, eles também disseram que estão ou estão desenvolvendo patches de segurança para melhorar o nível de segurança dos chips afetados.
Por exemplo, a Apple reconheceu no site oficial que "todos os sistemas Mac e dispositivos iOS são afetados, mas, ao mesmo tempo, o site oficial da Apple reconheceu que" todos os dispositivos Mac OS e iOS são afetados A Apple também afirmou que 'irá atualizar o Safari para evitar ataques, mas também para estudar mais as duas vulnerabilidades, será lançado em iOS, macros e atualizações tvOS novas Solução.
A ação de classe atual
Enquanto fabricantes de chips, fabricantes de sistemas operacionais e fornecedores de produtos finais estão tentando resolver esta crise de "infração" de segurança de CPU de forma "remendada", os consumidores não estão satisfeitos com a resposta da indústria.
De acordo com a Engadget, um site de notícias de tecnologia dos EUA, a Intel sofreu três ações judiciais nos Estados Unidos e todas são ações de classe devido a vazamentos de segurança da CPU. "Engadget acredita que isso significa que mais consumidores prejudicados podem juntar-se às fileiras dos queixosos Reclamações. No presente, não há surtos de ações judiciais contra outros fabricantes, como a AMD.
Em termos simples, existem dois motivos principais pelos quais os consumidores processam a Intel. Um deles é a divulgação de riscos de segurança após um lapso de seis meses. O segundo é que o patch afeta o desempenho de seus computadores.
Para a extensão da divulgação da questão, o funcionário da Intel China disse que isso é para lutar ativamente pelo tempo, aprendido com a existência de falhas até agora 6 meses, a Intel trabalhou com outros fornecedores para acelerar a busca de soluções para o problema, 'um grande A aliança das empresas de tecnologia vem trabalhando juntas para estudar e se preparar para a solução ".
A mídia estrangeira citou um desenvolvedor dizendo que a correção para o núcleo da CPU afetará todos os sistemas operacionais e a maioria das aplicações de software experimentará um "slide de uma figura" (ou seja, abaixo de 10%) para problemas de desempenho de software. , O declínio típico do desempenho de 5%, enquanto as capacidades de rede, o pior declínio de desempenho de 30%, isto é, "patch" para resolver as lacunas de segurança resultarão em uma redução de 5% no desempenho do dispositivo de computação ~ 30%.
No entanto, a Intel insistiu no e-mail que 'Meltdown e Specter duas vulnerabilidades da CPU não terão um impacto significativo no desempenho do computador', o teste SYSmark da empresa mostrou que após o declínio do desempenho do CPU 'patch' de cerca de 2% ~ 14 % '.
De fato, o repórter "China Business" observou que a Intel e a AMD e outros fabricantes ocorreram nos últimos eventos de Bug da CPU, como o Pentium FDIV Bug encontrado em 1994, Pentium FOOF Bug encontrado em 1997, descobriu a Intel em 2008, a Intel ME vulnerabilidades, AMD Phenom TLB Bug, Ryzen Segfault Bug, etc. Entre eles, o Intel Pentium FDIV Bug é uma falha de saída e saída, inicialmente a Intel não prestou atenção, apenas decidiu ser parcialmente certificada Usuários afetados para substituir a CPU, depois forçados pela opinião pública e pela pressão do mercado, a Intel recordou toda a CPU afetada, quando a perda de até 475 milhões de dólares dos EUA. Pode ser descoberta após muitos eventos de CPU Bug, a Intel e a AMD são através do "patch" 'Maneira de resolver o problema.
Em resposta à "porta de lacunas" da segurança, a Intel não se lembrará de seu próprio chip? O porta-voz da Intel China disse que Ko novamente era uma opinião pública estranha, Meltdown e Specter do que o Pentium FDIV em 1994, fácil de resolver, e a Intel começou a abordar Essas vulnerabilidades tornam impossível que a Intel lembre os produtos de chip afetados pelas vulnerabilidades Meltdown e Specter ".