文章搜索
文章正文
面向这场史诗级的 CPU 漏洞,Intel / Google / 微软 / 苹果等公司做了些什么?
这几天,Intel的日子不大好过。
一场由外媒Theregister曝光出来的芯片级漏洞事件持续发酵,Intel首当其冲。目前来看,这一漏洞可能影响到几乎所有的计算机、服务器、智能手机等设备,涉及到Intel、AMD、ARM等半导体巨擘以及微软、苹果、亚马逊、Google等世界级科技巨头。可以说,这是到目前为止影响范围最广泛的漏洞。
面向这场史诗级的CPU漏洞,Intel/Google/微软/苹果等公司做了些什么?
这简直是一次史诗级的漏洞。
到底是什么情况?
这次漏洞事件的罪魁祸首,主要是两个CPU安全漏洞,分别被命名为Meltdown(熔断)和Spectre(幽灵)。这两组漏洞利用CPU中的SpeculativeExecution(推测执行),通过用户层面应用从CPU内存中读取核心数据。
其中,Meltdown影响范围包括1995年之后的所有IntelCPU型号(除了2013年之前生产的Intel安腾和Atom系列);而Specture则能够影响几乎所有来自Intel和AMD的CPU型号,以及ARM旗下的一些CPU型号。
面向这场史诗级的CPU漏洞,Intel/Google/微软/苹果等公司做了些什么?
理论上,几乎所有的处理器和操作系统都会被涉及到。
据雷锋网了解,这次漏洞由Google的ProjectZero团队在去年发现,后来Google向Intel发出了警告。而Intel方面表示原本计划在下周推出软件补丁时披露该漏洞,但因为媒体的广泛报道,所以不得不提前发布声明。
由于牵涉范围太广,除了Intel,包括微软、Google、苹果多内的多家公司纷纷针对这一漏洞做出了反应,并发布了相关声明。雷锋网无意于从技术角度探讨这场漏洞发生的原因,仅从用户的角度出发,来看看这些公司的做法与说法。
Intel
作为本次漏洞受牵连最大的一家公司,Intel的回应比较多,也比较急切。
1月3日,针对漏洞问题,IntelCEOBrianKrzanich率先回应称:
我们不可能逐一检查所有系统。但由于这个漏洞很难利用,必须进入系统,还要进入内存和操作系统,所以从目前的调查来看,我们对于该漏洞尚未被利用很有信心…… 系统一直按照既有方式运行,符合系统的构建和设计方式……(黑客)无法借助这个漏洞对数据进行任何修改和删除,不能通过这一流程对数据展开任何操作。所以从这个角度来讲,这并不是缺陷。
Krzanich表示科技行业已经展开了数个月的合作来解决这个问题,由此可见Intel很早就知道这个漏洞的存在了,只是一直未披露。Krzanich还表示Intel正在开发软件解决方案,今后还将对硬件进行调整,预计最早下周初向厂商提供解决方案。
面向这场史诗级的CPU漏洞,Intel/Google/微软/苹果等公司做了些什么?
1月4日,Intel针对漏洞问题发布官方声明,雷锋网从官方声明提取出以下重点:
Intel认为这些漏洞不会损坏、修改或删除数据。
这些“安全缺陷”不是Intel独有,其他供应商的处理器和操作系统都有,比如“AMD、ARM控股和多个操作系统供应商”。
之前,大家认为这些漏洞几乎影响所有电脑、服务器和云操作系统,也可能影响手机和其他设备。但Intel表示,与早期的报告相反,对于大多数用户来说,性能影响应该不太大。
1月4日,Intel再次发布声明称,已经为基于Intel芯片的各种计算机系统(个人电脑和服务器)开发了更新,并且正在快速发布这些更新;这些更新程序可以通过系统制造商、操作系统提供商和其他相关厂商获得。
Intel方面还表示与其他产业伙伴在部署软件补丁和固件更新方面已经取得重要进展。
ARM
ARM在1月3日回应称:
ARM已经在与Intel和AMD合作进行分析。在一些特定的高端处理器中会出现Speculativeexecution被利用的情况,包括我们的一部分Cortex-A处理器;在可能出现的利用过程中,恶意软件将会在本地运行并导致内存的数据被获取。需要声明的是,我们开发的用于IoT的高性能低功耗Cortex-M处理器,将不受此影响。
ARM还表示,正在鼓励可能受到影响的半导体合作伙伴提供软件防护措施。
AMD
1月3日,AMD声明称:
事实上,安全研究小组确定了三个预测执行的版本。各个公司对这三种版本的威胁和反应各不相同,AMD不容易受到这三种版本的影响,由于AMD架构不同,我们认为,AMD处理器目前几乎没有风险。
AMD还声称安全研究将在当日晚些时候发布,并在彼时提供更多的更新。
微软
在漏洞事件曝光后,微软针对Windows10发布了一个特殊修复包,并正在针对Windows7和Windows8进行了更新。
面向这场史诗级的CPU漏洞,Intel/Google/微软/苹果等公司做了些什么?
同时,微软声明称:
我们了解到这一影响整个行业的问题,而且与芯片厂商展开了密切的合作,开发和测试缓解这一问题的方案,以保护我们的用户。同时,我们正在向云服务部署解决方案,并向Windows用户发布了安全更新,以防止Intel、ARM和AMD等公司的芯片受到漏洞的侵扰。
微软方面还表示,目前还没有收到任何关于利用该漏洞攻击用户的消息。
Google
在发现漏洞并针对旗下的产品提供保护措施方面,Google做得最多。
在媒体曝光了这次漏洞信息之后,Google的ProjectZero团队在1月3日发表了关于这次漏洞具体情况的博客,证明漏洞牵涉范围包括Intel、AMD和ARM。
在此之前不久,Google安全团队发表博客称,在发现漏洞之后,针对漏洞可能引发的安全问题,Google安全和产品开发团队就已经通过系统和产品更新来保护Google系统和用户数据的安全,并与行业里的软硬件合作来保护用户信息和Web安全。
面向这场史诗级的CPU漏洞,Intel/Google/微软/苹果等公司做了些什么?
Google在博客中详细列出了旗下产品的情况,其中重要的如下:
面向Android,Google已经在2017年12月面向手机厂商发布了安全补丁包,它面向所有基于ARM的处理器(比如说高通骁龙系列,华为麒麟系列,三星Exynos系列等);
GoogleApps/GSuite不受影响;
GoogleChrome浏览器稳定版需要打开SiteIsolation功能,而Google将在1月23日发布Chrome64,后者将包含保护功能;
ChromeOS包含上述Chrome浏览器的内容;从2017年12月15日起,Google正在推送ChromeOS63更新,不过一些早期的ChromeOS设备可能不会更新。
GoogleHome、GoogleChromecast、GoogleWifi、GoogleOnHub等产品不受影响。
除此之外,针对使用GoogleCloud云服务的各个部分,Google也提供了非常详尽的说明和可能需要的应对措施,详见Google安全博客内容。Google方面还表示,将继续针对这些漏洞进行工作,并将会在产品支持页面进行更新。
苹果
1月4日,针对这次漏洞,苹果发表称,这次的问题影响到所有的现代处理器以及几乎所有的计算设备和操作系统,因此Mac系统和iOS设备也不例外,不过目前还没有关于利用这些漏洞对消费者造成影响的情况。
苹果表示,要想利用这些漏洞,需要通过Mac和iOS设备上的应用来进行,因此建议用户从包括AppStore这样的可信渠道下载应用。
针对Meltdown,苹果在iOS11.2&macOS10.13.2&tvOS11.2中加入了保护措施,AppleWatch不受影响。而针对Specture,苹果表示将于未来几周在Safari浏览器中发布更新来对抗。
另外,苹果还表示,未来将会在iOS、macOS、tvOS和watchOS的系统更新中提供更多的防护措施。
亚马逊
这次漏洞对亚马逊的波及主要在AWS云服务方面,亚马逊在1月3日发表声明称:
这是一个已经存在了20余年的漏洞,包括来自IntelAMD和ARM的现代处理器架构都存在这个漏洞,并覆盖到服务器、桌面设备和移动设备。
截止到1月4日,亚马逊方面表示已经保护了几乎所有的亚马逊EC2网络服务,但客户仍然需要更新来自微软、Linux等的操作系统来修补这些漏洞。
其实无需恐慌
以这次漏洞波及的范围之广,的确是世所罕见的。虽然Intel、Google、微软、苹果等都在采取相应的安全措施,还是有不少用户在担心自己的隐私问题。
为此,雷锋网(公众号:雷锋网)采访了360安全中心的相关专家,得到的结论是:
虽然影响范围极广,但漏洞本身的危害却并不十分严重,前也没有任何已知的利用这些漏洞进行攻击的案例被发现。攻击者虽可利用该漏洞窃取隐私,但无法控制电脑、提升权限或者突破虚拟化系统的隔离。此外,该漏洞不能被远程利用,更无法像“永恒之蓝”漏洞一样,在用户没有任何交互操作时就实现攻击。
也就是说,只要用户正常使用,并及时安装官方推送的相关安全补丁,问题就不会太大。
面向这场史诗级的CPU漏洞,Intel/Google/微软/苹果等公司做了些什么?
不过,360方面告诉我们,要想修复这一漏洞,难度是很大的。因为这一漏洞是CPU硬件层面的,仅仅通过CPU厂商的安全更新是无法解决问题的;它需要操作系统厂商、虚拟化厂商、软硬件分销商、浏览器厂商、CPU厂商等一起协作并进行深入修改才能够彻底解决问题。
眼下来看,用户要做的就是打上必要的安全补丁,并避免在设备上安装恶意软件。对于这一漏洞的后续处理情况,雷锋网将保持关注。
