这几天,Intel 的日子不大好过。
一场由外媒 Theregister 曝光出来的芯片级漏洞事件持续发酵,Intel 首当其冲。目前来看,这一漏洞可能影响到几乎所有的计算机、服务器、智能手机等设备,涉及到 Intel、AMD、ARM 等半导体巨擘以及微软、苹果、亚马逊、Google 等世界级科技巨头。可以说,这是到目前为止影响范围最广泛的漏洞。
这简直是一次史诗级的漏洞。
这次漏洞事件的罪魁祸首,主要是两个 CPU 安全漏洞,分别被命名为 Meltdown(熔断)和 Spectre(幽灵)。这两组漏洞利用 CPU 中的 Speculative Execution(推测执行),通过用户层面应用从 CPU 内存中读取核心数据。
其中,Meltdown 影响范围包括 1995 年之后的所有 Intel CPU 型号(除了 2013 年之前生产的 Intel 安腾和 Atom 系列);而 Specture 则能够影响几乎所有来自 Intel 和 AMD 的 CPU 型号,以及 ARM 旗下的一些 CPU 型号。
理论上,几乎所有的处理器和操作系统都会被涉及到。
据雷锋网了解,这次漏洞由 Google 的 Project Zero 团队在去年发现,后来 Google 向 Intel 发出了警告。而 Intel 方面表示原本计划在下周推出软件补丁时披露该漏洞,但因为媒体的广泛报道,所以不得不提前发布声明。
由于牵涉范围太广,除了 Intel,包括微软、Google、苹果多内的多家公司纷纷针对这一漏洞做出了反应,并发布了相关声明。雷锋网无意于从技术角度探讨这场漏洞发生的原因,仅从用户的角度出发,来看看这些公司的做法与说法。
作为本次漏洞受牵连最大的一家公司,Intel 的回应比较多,也比较急切。
1 月 3 日,针对漏洞问题,Intel CEO Brian Krzanich 率先回应称:
我们不可能逐一检查所有系统。但由于这个漏洞很难利用,必须进入系统,还要进入内存和操作系统,所以从目前的调查来看,我们对于该漏洞尚未被利用很有信心…… 系统一直按照既有方式运行,符合系统的构建和设计方式……(黑客)无法借助这个漏洞对数据进行任何修改和删除,不能通过这一流程对数据展开任何操作。所以从这个角度来讲,这并不是缺陷。
Krzanich 表示科技行业已经展开了数个月的合作来解决这个问题,由此可见 Intel 很早就知道这个漏洞的存在了,只是一直未披露。Krzanich 还表示 Intel 正在开发软件解决方案,今后还将对硬件进行调整,预计最早下周初向厂商提供解决方案。
1 月 4 日,Intel 针对漏洞问题发布官方声明,雷锋网从官方声明提取出以下重点:
Intel 认为这些漏洞不会损坏、修改或删除数据。
这些“安全缺陷”不是 Intel 独有,其他供应商的处理器和操作系统都有,比如“AMD、ARM控股和多个操作系统供应商”。
之前,大家认为这些漏洞几乎影响所有电脑、服务器和云操作系统,也可能影响手机和其他设备。但 Intel 表示,与早期的报告相反,对于大多数用户来说,性能影响应该不太大。
1 月 4 日,Intel 再次发布声明称,已经为基于 Intel 芯片的各种计算机系统(个人电脑和服务器)开发了更新,并且正在快速发布这些更新;这些更新程序可以通过系统制造商、操作系统提供商和其他相关厂商获得。
Intel 方面还表示与其他产业伙伴在部署软件补丁和固件更新方面已经取得重要进展。
ARM 在 1 月 3 日回应称:
ARM 已经在与 Intel 和 AMD 合作进行分析。在一些特定的高端处理器中会出现 Speculative execution 被利用的情况,包括我们的一部分 Cortex-A 处理器;在可能出现的利用过程中,恶意软件将会在本地运行并导致内存的数据被获取。需要声明的是,我们开发的用于 IoT 的高性能低功耗 Cortex-M 处理器,将不受此影响。
ARM 还表示,正在鼓励可能受到影响的半导体合作伙伴提供软件防护措施。
1 月 3 日,AMD 声明称:
事实上,安全研究小组确定了三个预测执行的版本。各个公司对这三种版本的威胁和反应各不相同,AMD 不容易受到这三种版本的影响,由于 AMD 架构不同,我们认为,AMD 处理器目前几乎没有风险。
AMD 还声称安全研究将在当日晚些时候发布,并在彼时提供更多的更新。
在漏洞事件曝光后,微软针对 Windows 10 发布了一个特殊修复包,并正在针对 Windows 7 和 Windows 8 进行了更新。
同时,微软声明称:
我们了解到这一影响整个行业的问题,而且与芯片厂商展开了密切的合作,开发和测试缓解这一问题的方案,以保护我们的用户。同时,我们正在向云服务部署解决方案,并向 Windows 用户发布了安全更新,以防止 Intel、ARM 和 AMD 等公司的芯片受到漏洞的侵扰。
微软方面还表示,目前还没有收到任何关于利用该漏洞攻击用户的消息。
在发现漏洞并针对旗下的产品提供保护措施方面,Google 做得最多。
在媒体曝光了这次漏洞信息之后,Google 的 Project Zero 团队在 1 月 3 日发表了关于这次漏洞具体情况的博客,证明漏洞牵涉范围包括 Intel、AMD 和 ARM。
在此之前不久,Google 安全团队发表博客称,在发现漏洞之后,针对漏洞可能引发的安全问题,Google 安全和产品开发团队就已经通过系统和产品更新来保护 Google 系统和用户数据的安全,并与行业里的软硬件合作来保护用户信息和 Web 安全。
Google 在博客中详细列出了旗下产品的情况,其中重要的如下:
面向 Android,Google 已经在 2017 年 12 月面向手机厂商发布了安全补丁包,它面向所有基于 ARM 的处理器(比如说高通骁龙系列,华为麒麟系列,三星 Exynos 系列等);
Google Apps/G Suite 不受影响;
Google Chrome 浏览器稳定版需要打开 Site Isolation 功能,而 Google 将在 1 月 23 日发布 Chrome 64,后者将包含保护功能;
Chrome OS 包含上述 Chrome 浏览器的内容;从 2017 年 12 月 15 日起,Google 正在推送 Chrome OS 63 更新,不过一些早期的 Chrome OS 设备可能不会更新。
Google Home、Google Chromecast、Google Wifi、Google OnHub 等产品不受影响。
除此之外,针对使用 Google Cloud 云服务的各个部分,Google 也提供了非常详尽的说明和可能需要的应对措施,详见 Google 安全博客内容。Google 方面还表示,将继续针对这些漏洞进行工作,并将会在产品支持页面进行更新。
1 月 4 日,针对这次漏洞,苹果发表称,这次的问题影响到所有的现代处理器以及几乎所有的计算设备和操作系统,因此 Mac 系统和 iOS 设备也不例外,不过目前还没有关于利用这些漏洞对消费者造成影响的情况。
苹果表示,要想利用这些漏洞,需要通过 Mac 和 iOS 设备上的应用来进行,因此建议用户从包括 App Store 这样的可信渠道下载应用。
针对 Meltdown,苹果在 iOS 11.2 & macOS 10.13.2 & tvOS 11.2 中加入了保护措施,Apple Watch 不受影响。而针对 Specture,苹果表示将于未来几周在 Safari 浏览器中发布更新来对抗。
另外,苹果还表示,未来将会在 iOS、macOS、tvOS 和 watch OS 的系统更新中提供更多的防护措施。
这次漏洞对亚马逊的波及主要在 AWS 云服务方面,亚马逊在 1 月 3 日发表声明称:
这是一个已经存在了 20 余年的漏洞,包括来自 Intel AMD 和 ARM 的现代处理器架构都存在这个漏洞,并覆盖到服务器、桌面设备和移动设备。
截止到 1 月 4 日,亚马逊方面表示已经保护了几乎所有的亚马逊 EC2 网络服务,但客户仍然需要更新来自微软、Linux 等的操作系统来修补这些漏洞。
以这次漏洞波及的范围之广,的确是世所罕见的。虽然 Intel、Google、微软、苹果等都在采取相应的安全措施,还是有不少用户在担心自己的隐私问题。
为此,雷锋网采访了 360 安全中心的相关专家,得到的结论是:
虽然影响范围极广,但漏洞本身的危害却并不十分严重,前也没有任何已知的利用这些漏洞进行攻击的案例被发现。攻击者虽可利用该漏洞窃取隐私,但无法控制电脑、提升权限或者突破虚拟化系统的隔离。此外,该漏洞不能被远程利用,更无法像“永恒之蓝”漏洞一样,在用户没有任何交互操作时就实现攻击。
也就是说,只要用户正常使用,并及时安装官方推送的相关安全补丁,问题就不会太大。
不过,360 方面告诉我们,要想修复这一漏洞,难度是很大的。因为这一漏洞是 CPU 硬件层面的,仅仅通过 CPU 厂商的安全更新是无法解决问题的;它需要操作系统厂商、虚拟化厂商、软硬件分销商、浏览器厂商、CPU 厂商等一起协作并进行深入修改才能够彻底解决问题。
眼下来看,用户要做的就是打上必要的安全补丁,并避免在设备上安装恶意软件。对于这一漏洞的后续处理情况,雷锋网将保持关注。