英特尔芯片安全漏洞危机持续发酵。
北京时间1月5日,英国《金融时报》消息称,苹果已经承认,所有的Mac系统和iOS设备都受到近期被揭露的英特尔芯片设计中安全隐患的影响,且已经发布补救措施。
此次被安全人员爆出的两个新漏洞分别被命名为“灾难”(Meltdown)和“幽灵”(Spectre)。前者允许低权限、用户级别的应用程序“越界”访问系统级的内存,后者则可以骗过安全检查程序,使应用程序访问内存的任意位置。
美国时间1月4日,苹果公司在旧金山表示,已经于iOS 11.2和MacOS 10.13.2上发布了缓解措施,以抵御“灾难”漏洞,且强调苹果手表不受“灾难”漏洞影响。苹果还表示,计划在网络浏览器Safari中发布缓解措施,以防御“幽灵”漏洞。
所有人的电脑性能恐下降30%
目前关于这个漏洞的细节因为安全考虑暂时没有公布,不过已经有相关领域的人士猜测,Intel CPU架构为追求执行效率在代码执行预测上偷了懒,有可能会绕过核心的安全机制直接执行用户代码。
尽管在具体信息公布之前大家都不敢下结论,但就看Linux/Windows OS的开发者们现在手忙脚乱的样子,也足够知道这漏洞有多严重了——影响范围超级广,杀伤力也足够深入。不过好消息是要利用起这个漏洞也需要相当高的水平,或许能减轻一点群众的恐慌。
在这次灾难中比较幸运的是AMD,目前尚无有报告称AMD的CPU也存在核心内存泄露的问题,至少在Linux内核开发人员邮件群组的圣诞节报告中,很明确地指出AMD处理器微架构不允许内存引用。
不过随后英特尔在声明中说:“只有英特尔芯片存在问题的说法不正确。使用不同厂商处理器和操作系统的多种计算设备,都容易受到这类漏洞的攻击。”在英特尔发布声明后,AMD和ARM都表示将积极与合作伙伴配合防止安全漏洞出现,不过均没明确承认自己的新品存在缺陷。
据称英特尔、微软、苹果等公司正在加班加点研究解决办法。该漏洞可以被修复,但最大的问题是,补丁可能导致 PC 和 Mac 出现性能下降,下降幅度在 5%-30% 之间,尚未清楚具体降低到什么程度。
修补这一漏洞的补丁将会影响到系统调用的底层功能,因此将影响到软件编译,虚拟机运行等。一名开发人员表示,Linux 内核中进行的修补将会影响所有的操作系统工作,大部分软件运行将会出现“一位数下滑”(10%以下),典型的性能下降幅度为5%。而在联网功能方面,最糟糕的性能下降幅度为 30%。
因为这个漏洞主要出现在英特尔 x86 构架上,所以对使用英特尔处理器的苹果 Mac 电脑影响是普遍的,苹果也在紧急修复系统以解决这一缺陷,但修复工作进行得如何尚未清楚。总之可以确定的是安装修复补丁之后,用户的个人电脑运行速度将比以前降低。
但英特尔否认补丁程序会让使用英特尔芯片的电脑速度变慢。“英特尔已开始提供软件与韧体(固件)更新,以减轻这些漏洞的问题,”英特尔声明中表示,“对电脑效能的影响取决于处理量。对一般电脑用户来说,影响应该不大,并且会随着时间推移逐步得到缓解。”
英特尔股价大跌
虽然英特尔百般呼吁不要放大漏洞的影响并且极力否认外界对于漏洞的种种猜测,但外界的焦虑还是反应在了股市上。
在周三消息爆出的周三当日,AMD股价上涨7%,英特尔股价则下跌4%。
随后在美国时间1月4日,开盘时英特尔股价又跌约2%。
值得一提的是,英特尔股票在2017年上涨了27%,而AMD股票同期下跌了9%。这次漏洞或许成了AMD的机会。
BAT纷纷发布补漏升级公告
除了普通用户的设备,受影响最大的则是储存大量用户数据的云服务公司。因为漏洞主要存在于CPU(中央处理器)当中。因此国内各家云服务上表示将采用热升级的方式,绝大多数客户不会受到影响。而对于少数不支持升级方式的服务器,需要手动重启。目前它们皆已对漏洞做出行动。
百度云团队做出的回应:
腾讯云的安全升级通知:
阿里云的升级通知:
