1月4日,国外安全研究机构公布了两组CPU漏洞:Meltdown(熔断)和Spectre(幽灵)。从目前了解情况来看,1995年以来大部分量产的处理器均有可能受上述漏洞的影响,且涉及大部分通用操作系统。虽然是英特尔为主,但ARM、AMD等大部分主流处理器芯片也受到漏洞影响。相应的,采用这些芯片的Windows、Linux、MacOS、Android等主流操作系统和电脑、平板电脑、手机、云服务器等终端设备都受上述漏洞的影响。
英特尔首当其冲 漏洞波及几乎所有架构芯片
此次被公布的漏洞是谷歌的 Project Zero 团队在去年发现的。这两个漏洞被称为Meltdown和Spectere,英特尔在电话会议上将其正式定名为“旁路分析利用”漏洞。这些漏洞允许恶意程序从其它程序的内存中窃取信息,这意味着恶意程序可以窃取密码、账户信息、加密密钥或理论上存储在进程中的任何内容。
其中,Meltdown可以影响英特尔的处理器,它打破了用户应用程序和操作系统之间最基本的隔离。这种攻击允许程序访问其它程序和操作系统的内存,这可能导致数据泄露。而Spectre则除了能影响英特尔的处理器外,还能影响 AMD 和 ARM 架构的处理器,也就是说,智能手机等设备也可能受到影响。
事实的确如此,继承认不安全的内存漏洞会影响数以百万计的英特尔处理器后,ARM近日也证实,许多Cortex系列处理器也存在漏洞,而众所周知的事实是,ARM的Cortex被用于各种各样的Android和iOS设备,以及部分Nvidia Tegra产品、高通骁龙芯片以及索尼的PlayStation Vita上。
鉴于ARM Cortex技术被广泛授权应用于不同品牌的芯片上,为此拿出受影响详尽设备清单几乎是不可能的。然而,Cortex A8、A9、A15技术在前三款iPad、原始iPad mini、iPhone 4/4s/5/5c、iPod touch 4G/5G、Apple TV 2G/3G中都有使用。Nvidia的Tegra 2、3、4和K1也使用了ARM处理器,三星的Exynos 3110、4和5芯片也是如此。目前还不清楚苹果的A系列芯片设计是否避免了这些漏洞,包括定制的Cortex芯片和后来苹果公司内部开发的处理器。
发布更新 90%英特尔芯片漏洞已修复
面对上述漏洞,据悉,英特尔已经针对过去5年中推出的大多数处理器产品发布了更新。而在CES期间的专题演讲中,英特尔 CEO Brian Krzanich(科再奇)也就近段时间在全球掀起轩然大波的Meltdown和Spectre两个安全漏洞予以了回应。他表示,受影响的英特尔处理器产品,在本周内修复更新将覆盖到90%的近5年产品(上溯到2代或者3代酷睿),剩下的10%也会在1月底前修复。
至于业内担心的修复后芯片性能下降的说法,英特尔方面表示,这些更新对不同工作负载的性能影响会有不同。对于一般的计算机用户来说,影响并不显著,而且会随着时间的推移而减轻。虽然对于某些特定的工作负载,软件更新对性能的影响可能一开始相对较高,但采取进一步的后续优化工作,包括更新部署后的识别、测试和软件更新改进,应该可以减轻这种影响。系统更新程序可通过系统制造商、操作系统提供商和其他相关厂商获得。
对于此次事件,芯片业内人士告诉记者:“从整体事件前后发展来看,英特尔处理器存在安全漏洞是正常的,只不过专注这行的行业内部都知晓。这个漏洞至少在半年前就被英特尔、微软、谷歌等厂商知晓并在修复中,并且近期就会准备详细的漏洞报告和更新,英特尔没料到的是有媒体提前曝光了。”
“漏洞虽然可以通过系统OS层面的补丁修复,但是会影响性能,而解决问题的根本还是要升级处理器。”该业内人士补充道。
至于ARM架构处理器的漏洞,实际上,基于特定的芯片和操作系统,保护基于ARM技术的设备需要不同的方法。据相关报道,ARM正在指导Android和“其他操作系统”用户从其设备的操作系统提供商处寻找补丁,同时为Linux提供ARM开发的“软件措施”。谷歌已经发布了Android产品补丁,但其他Android设备正在等待供应商的补丁。苹果尚未公开说明哪些设备受到影响,也未公布共享的解决方案。如果iOS设备受到影响,苹果可能通过软件更新提供补丁,但其性能影响还不得而知。
