Desde que el blog estadounidense de tecnología The Register reveló por primera vez el 2 de enero de 2018 vulnerabilidades de seguridad a nivel de chip causadas por CPU Speculative Execution Specter (nombre chino "fantasma", hay dos variantes CVE-2017-5753 y CVE-2017-5715) , Meltdown (una variante de CVE-2017-5754), Intel, ARM, AMD, Apple, IBM, Qualcomm, NVIDIA y otros han admitido que sus procesadores están en riesgo de ser atacados.
A pesar de esta seguridad causado por el diseño del evento subyacente arquitectura de CPU 'puerta defecto', extendido a casi todos los fabricantes de chips, pero la industria mundial de chips 'jefe' - Intel se convirtieron en los perdedores más destacados "China Business" reportero señaló. precio de las acciones de Intel ha caído de $ 46.85 / cuota del 2 de enero al $ 42.50 / cuota el 11 de enero, el valor de mercado se ha reducido a $ 20,4 mil millones y observado rival de Intel AMD, precio de las acciones de la compañía ha pasado de 2 de enero 10.98 dólares estadounidenses / acción subieron a 11.93 dólares USA el 11 de enero / acción, o casi el 10%.
Las acciones tomadas por Intel y otros fabricantes de chips, proveedores de sistemas operativos, como Microsoft, Apple y otros fabricantes de terminales frente a la 'puerta lagunas' de seguridad de la CPU están apuntando a 'parche'. La portavoz de Intel China, 10 asociada de enero de dijo al "China en el teléfono y e-mail negocio "el reportero," (2017) a principios de diciembre que comenzó a lanzar una actualización de firmware para los socios OEM. esperamos (en el pasado) actualización lanzada dentro de una semana del lanzamiento cubrirá más del 90% de los procesadores de Intel en los últimos cinco años, el resto lo hará en (2018), publicado antes del final de enero. Después de que vamos a seguir para liberar actualizaciones para otros productos. 'el portavoz hizo hincapié en que el chip de Intel no se recordará.
'Vulnerabilidad gate' se filtró antes de tiempo
Esta ronda de reputación de 'lagunas' de CPU como el equipo de cómputo 'Millennium Bug' en la historia de la brecha de seguridad más grande.
¿Cuál es el "error del milenio"? Es el problema de la computadora 2000. Debido a que la memoria de la computadora es relativamente pequeña, el año está representado por dos dígitos, como 1980 es 80, hasta 1999, 80 años es 99-80 = 19 años , Pero en 2000, se convirtió en 00-80 = -80 años. Esto se conoce como el 'Problema de la computadora 2000'.
La CPU 'puerta de lagunas' es ¿cómo es? Un técnico de Huawei le dijo al periodista "China Business", la gente emitió instrucciones para que la computadora sea normal, se puede ejecutar la excepción, no se implementan dos, de acuerdo con la estructura original Diseños, las excepciones que no se ejecutan se dejan en el caché sin ningún rastro, por lo que no importa si pueden ver la información confidencial de la memoria, pero ahora se ha confirmado que las instrucciones están todavía en la memoria. Lo cual dejó rastros de pistas y puede ser explotado por atacantes, lo que lleva a la divulgación de usuarios de información sensible.
El equipo de Project Zero en Google fue pionero en el descubrimiento de estas vulnerabilidades a nivel de chip desencadenadas por la ejecución especulativa de CPU y las denominó Spectre and Meltdown y las pruebas para confirmar que los efectos de Specter incluyen Intel, AMD, ARM y muchos otros proveedores, incluidos los productos de chips, Meltdown (fusible) es el principal impacto de los chips de Intel.
Estas vulnerabilidades fueron reportadas por primera vez por el equipo de Google Project Zero a Intel, AMD y ARM en junio de 2017. Debido a que estos riesgos de seguridad involucran una variedad de diferentes arquitecturas de chips, son notificados y certificados por el equipo de Project Zero Más tarde, Intel, AMD, ARM y otros fabricantes se unieron rápidamente, y liderados por Google firmaron un acuerdo de confidencialidad, y bajo el acuerdo de confidencialidad de cooperar para asegurar que llegara el plazo acordado para la divulgación del problema (9 de enero de 2018) Antes de encontrar una solución al problema ". Las partes interesadas de Intel China le dijeron al reportero de" China Business ".
No sólo es el equipo del Proyecto Cero de Google en la segunda mitad de 2017 han investigadores descubrieron digitales de forma independiente estas vulnerabilidades. 'Estos investigadores descubrieron que estos problemas de seguridad se han hecho para informar al fabricante de chips por el equipo del Proyecto Cero, la industria está trabajando Y se intensificó el desarrollo de la solución, también acordaron mantener sus conclusiones confidenciales hasta el punto de tiempo de divulgación acordado por la industria (9 de enero de 2018) ", dijo un funcionario chino de Intel China.
Sin embargo, a medida que se acercaba el tiempo de divulgación (9 de enero de 2018), la 'puerta de vulnerabilidad' de seguridad de la CPU se reveló por adelantado el 2 de enero de 2018. Posteriormente, Google divulgó la información relevante el 3 de enero de 2018. - El equipo de Project Zero notificó a Specter a Intel, AMD, ARM el 1 de junio de 2017 y Meltdown a Intel el 28 de julio de 2017.
Acuerdo de Baotuan
Aunque es similar al "Y2K", la causa principal de este "vacío" de seguridad de la CPU es el diseño de la arquitectura subyacente. Sin embargo, cuando se divulgó el problema, el foco de la opinión pública se centró principalmente en Intel.
Un conocedor de la industria le dijo al reportero de "China Business" que, por un lado, porque Specter and Meltdown tiene dos lagunas en Intel, por otro lado, porque Intel es el "jefe" de la industria de chips del mundo, su cobertura de productos, Los grupos de usuarios afectados son, sin duda, los más grandes.
Intel se aferró a las vulnerabilidades de seguridad de la CPU definidas por los medios como 'puertas de enlace' en la seguridad de Intel. El corresponsal de "China Business Journal" dijo el 3 de enero de 2018, "Respuesta de Intel a los resultados de la investigación de seguridad" "Estas violaciones de seguridad no son exclusivas de los productos de Intel". Intel lanzó una actualización el 4 de enero indicando que Intel ha lanzado actualizaciones para la mayoría de los productos de procesador presentados en los últimos cinco años. Para el próximo fin de semana (14 de enero) Día) Intel anuncia actualizaciones que cubrirán más del 90% de los procesadores presentados en los últimos cinco años.
De acuerdo con el diario U.S. Oregon News, el CEO de Intel, Ke Keqi, también envió un memorando a los empleados el 8 de enero indicando que la compañía establecerá un nuevo departamento de seguridad y garantía de productos de Intel para mejorar la seguridad. En su discurso de apertura en el CES 2018 el 9 de enero, Oddky nuevamente enfatizó que "dentro de esta semana, la remediación cubrirá el 90% de los últimos 5 años y el 10% restante será reparado para fines de enero".
Después de que Intel, AMD, ARM, Qualcomm, NVIDIA, Apple, IBM y otros fabricantes también admitieron que las 'lagunas' tienen un impacto en sus propios productos, y dijeron que se pueden resolver a través de la actualización del parche del sistema.
Por ejemplo, dicho brazo en una declaración pública que 'hay una gran cantidad de procesadores de la familia lagunas de la corteza'; AMD declaración oficial reconoció la existencia de vulnerabilidades de seguridad partes del procesador; representa IBM tiene un impacto Google anunció el microprocesador de chips para todos los riesgos potenciales de ataque, incluyendo IBM familia potencia de los procesadores '; Qualcomm dijo' influencia de la reciente exposición de la seguridad a nivel de chip de vulnerabilidades de productos, la compañía está desarrollando actualiza '; NVIDIA afirma que su parte del chip es la influencia Specter, puede conducir a pérdidas de memoria empresas mencionadas anteriormente admitió ser.' influencia puerta de vulnerabilidad', al mismo tiempo, también dijo que está desarrollando o tiene parches de seguridad para mejorar el nivel de seguridad por el impacto del chip.
Por ejemplo, Apple reconoció en el sitio web oficial que "todos los sistemas Mac y dispositivos iOS se ven afectados, pero al mismo tiempo, el sitio web oficial de Apple reconoció que" todos los dispositivos Mac OS e iOS se ven afectados Apple también ha afirmado que "se actualizará Safari para evitar ataques, pero también para estudiar más a fondo las dos vulnerabilidades, se lanzará en iOS, macOS y tvOS actualizaciones nuevas Solución.
La acción de clase actual
Mientras que los fabricantes de chips, los fabricantes de sistemas operativos y los proveedores de productos finales están tratando de resolver la crisis de 'brecha' de seguridad de la CPU de una manera 'parchada', los consumidores no están satisfechos con la respuesta de la industria.
Según Engadget, un sitio de noticias de tecnología de EE. UU., Intel ha sufrido tres demandas en los Estados Unidos y todas son acciones colectivas debido a las filtraciones de seguridad de la CPU ". Engadget cree que esto significa que más consumidores perjudicados pueden unirse a los demandantes Reclamaciones. En la actualidad no hay un estallido de demandas contra otros fabricantes como AMD.
En términos simples, hay dos razones principales por las que los consumidores demandan a Intel: una es la divulgación de los riesgos de seguridad después de un lapso de seis meses. La segunda es que el parche afecta el rendimiento de sus computadoras.
Para la extensión de la divulgación del problema, Intel funcionario de China dijo que esto es para luchar activamente por el tiempo, aprendió de la existencia de lagunas hasta ahora 6 meses, Intel ha estado trabajando con otros proveedores para acelerar la búsqueda de soluciones al problema, 'un gran Alianza de empresas de tecnología han estado trabajando juntas para estudiar y prepararse para la solución '.
Los medios extranjeros citaron a un desarrollador diciendo que la solución al núcleo de la CPU afectará a todos los sistemas operativos, y la mayoría de las aplicaciones de software experimentarán una "diapositiva de una figura" (es decir, menos del 10%) por problemas de rendimiento del software. , La disminución del rendimiento típico del 5%, mientras que las capacidades de red, la peor disminución del rendimiento del 30%, es decir, 'parche' para resolver las 'lagunas' de seguridad dará como resultado una reducción del 5% en el rendimiento del dispositivo informático ~ 30%.
Sin embargo, Intel insistió en el correo electrónico que 'Meltdown y Spectre dos vulnerabilidades de la CPU no tendrán un impacto significativo en el rendimiento de la computadora', la prueba SYSmark de la compañía mostró que después del declive del rendimiento de CPU 'parche' de aproximadamente 2% ~ 14 % '.
De hecho, "China Business" reportero observó que muchos incidentes de eventos de Intel y AMD CPU de errores y otros fabricantes en el pasado, como el descubrimiento en 1994 de la Error de división del Intel Pentium, Pentium descubierto en 1997 Foof caso de errores, Intel 2008 encontrados ME vulnerabilidades, así como Phenom de AMD Bug (Phenom) TLB, Ryzen (Dacentrurus) segfault insecto, etc., entre Intel Pentium FDIV Bug es un defecto de pleno derecho, Intel inicialmente no prestar atención, simplemente decidieron parte demostrado usuarios afectados para reemplazar la CPU, y más tarde forzados por las presiones de opinión y de mercado público, Intel ha recordado todas las CPU afectada, luego perdió $ 475 millones. después, más de la CPU incidente insecto fue descubierto por Intel y AMD son 'parches 'Manera de resolver el problema.
Para la 'puerta lagunas' de seguridad, Intel va a recordar sus propios chips? Portavoz de Intel citó Ke relacionadas con China re-impar pública como diciendo, fusión y Spectre de 1994 Pentium FDIV fácil de resolver, pero Intel ha comenzado a domicilio estas vulnerabilidades, Intel fusión no se verán afectados por el retiro y la vulnerabilidad Espectro de microprocesadores ".