當(dāng)前位置:首頁 > 芯聞號 > 充電吧
[導(dǎo)讀]英特爾處理器芯片出現(xiàn)一個(gè)底層設(shè)計(jì)漏洞,主要存在于 Intel x86-64 硬件中,過去十年中生產(chǎn)的現(xiàn)代英特爾處理器都會受影響。漏洞導(dǎo)致 Linux 和 Windows 內(nèi)核被迫更新設(shè)計(jì),以解決芯片層的安全問題。Apple 的 64 位 macOS 等類似操作系統(tǒng)也在劫難逃。

英特爾處理器芯片出現(xiàn)一個(gè)底層設(shè)計(jì)漏洞,主要存在于 Intel x86-64 硬件中,過去十年中生產(chǎn)的現(xiàn)代英特爾處理器都會受影響。漏洞導(dǎo)致 Linux 和 Windows 內(nèi)核被迫更新設(shè)計(jì),以解決芯片層的安全問題。Apple 的 64 位 macOS 等類似操作系統(tǒng)也在劫難逃。

今天1 月 4 日,谷歌則發(fā)布了另一則消息,他們的 Project Zero 研究員發(fā)現(xiàn)這個(gè)底層漏洞不止影響的是 Intel 芯片的設(shè)備,每一個(gè)1995 年后的處理器都會受到這個(gè)漏洞影響。

按照谷歌的說法,每個(gè)人以及每臺設(shè)備都會收到影響。所有芯片廠商(Intel, AMD, ARM)和主要的操作系統(tǒng)(Windows, Linux, macOS, Android, ChromeOS)、云服務(wù)提供者 (Amazon, Google, Microsoft)都會受到影響。

亞馬遜 AWS 回應(yīng)這一事件時(shí)表示:“這是一個(gè)已經(jīng)在英特爾、AMD、ARM 等現(xiàn)代處理器構(gòu)架中存在 20 多年的漏洞,橫跨服務(wù)器、臺式機(jī)、移動設(shè)備。”

《福布斯》、WMPU 等撰文對此次事件進(jìn)行了一次詳細(xì)的披露和解釋,整理如下:

1、哪些系統(tǒng)受影響?

Windows、Linux、macOS、亞馬遜 AWS、谷歌安卓均中招。

2、除了 Intel 處理器,還波及哪些硬件?

ARM 的 Cortex-A 架構(gòu)和 AMD 處理器。Cortex-A 目前廣泛用于手機(jī) SoC 平臺,包括高通、聯(lián)發(fā)科、三星等等。

雖然 AMD 稱基于谷歌研究的三種攻擊方式,自己的處理器基本免疫。但 Spectre(幽靈)漏洞的聯(lián)合發(fā)現(xiàn)者 Daniel Gruss(奧地利格拉茨技術(shù)大學(xué))稱,他基于 AMD 處理器的 Spectre 代碼攻擊模擬相當(dāng)成功,絕不能低估。

3、如何修復(fù)?

Intel 建議關(guān)注后續(xù)的芯片組更新、主板 BIOS 更新,但首先,應(yīng)該把 OS 級別的補(bǔ)丁打上。

對于 Meltdown 漏洞:Linux 已經(jīng)發(fā)布了 KAISER、macOS 從 10.13.2 予以了修復(fù)、谷歌號稱已經(jīng)修復(fù),Win10 Insider 去年底修復(fù)、Win10 秋季創(chuàng)意者更新今晨發(fā)布了 KB4056892,將強(qiáng)制自動安裝。

亞馬遜也公布了指導(dǎo)方案。

對于難度更高的 Spectre 漏洞,目前仍在攻堅(jiān)。

4、Windows 7/XP 受影響不?

微軟承諾,將在下一個(gè)補(bǔ)丁日幫助 Win7 修復(fù),但是否惠及 XP 沒提。

5、打補(bǔ)丁性能受到影響?

研究者 Gruss 稱對此,他無法給出確切結(jié)論,但從 Intel 聲明的措辭中可以確認(rèn)會有性能損失。

福布斯稱,性能影響較大的是 Intel 1995 年到 2013 年的老處理器,最高可達(dá) 50%,從 Skylake 這一代之后就幾乎察覺不到了。

6、那么這些漏洞造成什么損失了?

由于兩個(gè)漏洞都是越級訪問系統(tǒng)級內(nèi)存,所以可能會造成受保護(hù)的密碼、敏感信息泄露。

但福布斯了解到,目前,尚未有任何一起真實(shí)世界攻擊,所有的推演都來自于本地代碼模擬。

所以,看似很嚴(yán)重但其實(shí)也可以理解為一次安全研究的勝利。研究者稱,漏洞要在個(gè)人電腦上激活需要依附與具體的進(jìn)程等,比如通過釣魚軟件等方式植入。

7、殺毒軟件有效嗎?

可結(jié)合第 6 條來理解,真實(shí)世界攻擊中,殺軟的二進(jìn)制文件比對法可能會提前發(fā)現(xiàn),但尚無定論。

那么針對這次的芯片漏洞事件各家公司又都是如何回應(yīng)的呢?

英特爾:

“英特爾和其他科技公司已經(jīng)從新的安全研究中了解到了當(dāng)軟件分析方法被用于惡意目的時(shí)有可能會出現(xiàn)不恰當(dāng)?shù)貜碾娔X設(shè)備中收集敏感數(shù)據(jù)的情況。英特爾相信這些漏洞不存在破壞、修改和刪除數(shù)據(jù)的可能性。”

“最近關(guān)于這些漏洞由一個(gè)只存在于英特爾產(chǎn)品的 bug 或 flaw 引起的報(bào)道是錯(cuò)誤的?;谄駷橹沟姆治鲲@示,許多計(jì)算設(shè)備類型--包括來自許多不同廠家的處理器和操作系統(tǒng)--都非常容易受到這種攻擊。”

微軟:

微軟今天已經(jīng)更新了 Windows 10,與此同時(shí),Windows 7 和 Windows 8 也都獲得了對應(yīng)的更新。

“我們意識到發(fā)生在整個(gè)行業(yè)的問題并已經(jīng)跟芯片制造商展開密切合作以開發(fā)和測試緩解措施來保護(hù)我們的客戶。我們正在為云服務(wù)部署緩解措施,另外還發(fā)布了能保護(hù)受英特爾、ARM、AMD 硬件漏洞影響的 Windows 客戶的安全升級。我們還沒有收到任何表明我們的客戶遭到這些漏洞攻擊的報(bào)告。”

谷歌:

谷歌 Project Zero 的研究人員實(shí)際上早在去年就已經(jīng)發(fā)現(xiàn)了這些漏洞并在 2017 年 6 月將相關(guān)信息提供了英特爾、AMD、ARM。谷歌在一篇博文中披露了其對 Android、Crhome OS、Google Cloud 所采取的措施。這家公司表示,Chromecast 和 Chrome 瀏覽器都未在影響范圍內(nèi)。

亞馬遜:

“這是一個(gè)已經(jīng)在英特爾、AMD、ARM 等現(xiàn)代處理器構(gòu)架中存在 20 多年的漏洞,它們橫跨服務(wù)器、臺式機(jī)、移動設(shè)備。目前亞馬遜 EC2 機(jī)群只有極少數(shù)得到了保護(hù),但其余的保護(hù)工作將在接下來的幾個(gè)小時(shí)內(nèi)完成。我們將隨時(shí)讓客戶了解我們安全告示的最新動態(tài),相關(guān)信息可以在這里找到。”

AMD:

“需要澄清的是,安全研究團(tuán)隊(duì)確定了 3 種針對預(yù)測執(zhí)行的(漏洞)變體。這 3 種變體對各家微處理器公司的威脅和影響不盡相同,AMD 不受影響。由于 AMD 構(gòu)架的不同,我們相信 AMD 處理器目前受到的風(fēng)險(xiǎn)為零。我們預(yù)計(jì)安全研究報(bào)告將會在今天晚些時(shí)候公布,屆時(shí)將提供進(jìn)一步的消息。”

ARM:

“ARM 已經(jīng)為解決這個(gè)利用某些高端處理器所用的投機(jī)執(zhí)行技術(shù)的旁路分析方法跟英特爾和 AMD 展開合作,這當(dāng)中包括了我們的 Coretex-A 處理器。該方法能夠讓惡意軟件在本地運(yùn)行進(jìn)而獲得訪問來自特權(quán)內(nèi)存數(shù)據(jù)的權(quán)限。需要注意的是,我們現(xiàn)流行的低功率、IoT 設(shè)備連接 Cortex-M 處理器不在影響范圍內(nèi)。”

“我們建議我們的硅谷合作伙伴,如果其芯片受到影響,那么最好采取緩解措施。”

蘋果:

截止到目前,這家公司未作出回應(yīng)。

因?yàn)樗麄円呀?jīng)通過去年 12 月發(fā)布的 macOS 10.13.2,部分修正了這一問題,10.13.3 中將包含更多補(bǔ)丁軟件。而 Linux 代碼庫維護(hù)人員和微軟都在開發(fā)修正 Intel 處理器安全缺陷的補(bǔ)丁軟件。

本站聲明: 本文章由作者或相關(guān)機(jī)構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點(diǎn),本站亦不保證或承諾內(nèi)容真實(shí)性等。需要轉(zhuǎn)載請聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請及時(shí)聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或?qū)⒋呱龈蟮莫?dú)角獸公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字: 阿維塔 塞力斯 華為

加利福尼亞州圣克拉拉縣2024年8月30日 /美通社/ -- 數(shù)字化轉(zhuǎn)型技術(shù)解決方案公司Trianz今天宣布,該公司與Amazon Web Services (AWS)簽訂了...

關(guān)鍵字: AWS AN BSP 數(shù)字化

倫敦2024年8月29日 /美通社/ -- 英國汽車技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認(rèn)證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時(shí)1.5...

關(guān)鍵字: 汽車 人工智能 智能驅(qū)動 BSP

北京2024年8月28日 /美通社/ -- 越來越多用戶希望企業(yè)業(yè)務(wù)能7×24不間斷運(yùn)行,同時(shí)企業(yè)卻面臨越來越多業(yè)務(wù)中斷的風(fēng)險(xiǎn),如企業(yè)系統(tǒng)復(fù)雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務(wù)連續(xù)性,提升韌性,成...

關(guān)鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報(bào)道,騰訊和網(wǎng)易近期正在縮減他們對日本游戲市場的投資。

關(guān)鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會開幕式在貴陽舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字: 華為 12nm EDA 半導(dǎo)體

8月28日消息,在2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會上,華為常務(wù)董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字: 華為 12nm 手機(jī) 衛(wèi)星通信

要點(diǎn): 有效應(yīng)對環(huán)境變化,經(jīng)營業(yè)績穩(wěn)中有升 落實(shí)提質(zhì)增效舉措,毛利潤率延續(xù)升勢 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務(wù)引領(lǐng)增長 以科技創(chuàng)新為引領(lǐng),提升企業(yè)核心競爭力 堅(jiān)持高質(zhì)量發(fā)展策略,塑強(qiáng)核心競爭優(yōu)勢...

關(guān)鍵字: 通信 BSP 電信運(yùn)營商 數(shù)字經(jīng)濟(jì)

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺與中國電影電視技術(shù)學(xué)會聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會上宣布正式成立。 活動現(xiàn)場 NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會上,軟通動力信息技術(shù)(集團(tuán))股份有限公司(以下簡稱"軟通動力")與長三角投資(上海)有限...

關(guān)鍵字: BSP 信息技術(shù)
關(guān)閉
關(guān)閉