高危級別芯片漏洞 堪比“千年蟲”

李云杰

今年新年剛過，爆出了幾乎席卷整個IT產(chǎn)業(yè)的芯片漏洞事件，讓人們剛剛放松的神經(jīng)緊張起來。

根據(jù)國內(nèi)外媒體的披露，事件的來龍去脈是這樣的：2017年，Google旗下的ProjectZero團隊發(fā)現(xiàn)了一些由CPU Speculative Execution引發(fā)的芯片級漏洞，“Spectre”（變體1和變體2：CVE-2017-5753和CVE-2017-5715）和“Meltdown”（變體3：CVE-2017-5754），這三個漏洞都是先天性質(zhì)的架構(gòu)設(shè)計缺陷導(dǎo)致的，可以讓非特權(quán)用戶訪問到系統(tǒng)內(nèi)存從而讀取敏感信息。

Project Zero安全團隊的一名成員在2017年6月1日向英特爾和其他芯片生產(chǎn)商告知了這些漏洞的情況。而直到2018年1月2日，科技媒體The Register在發(fā)表的一篇文章中曝光了上述CPU漏洞，才讓芯片安全漏洞問題浮出水面，也讓英特爾陷入一場突如其來的危機。

芯片安全漏洞爆出后，引起了媒體和業(yè)界的廣泛關(guān)注：不但將在CPU上市場份額占絕對優(yōu)勢的英特爾拋到輿論漩渦中，也引起大家對安全問題的擔(dān)憂。

人們不禁要問，芯片漏洞問題早已發(fā)現(xiàn)，為什么到現(xiàn)在才被公布？是英特爾有意隱瞞嗎？

延期公布，

為應(yīng)對方案贏得了時間

從媒體披露的情況來看，1995年以來大部分量產(chǎn)的處理器均有可能受上述漏洞的影響，且涉及大部分通用操作系統(tǒng)。雖然是以英特爾為主，但ARM、高通、AMD等大部分主流處理器芯片也受到漏洞影響，IBM POWER細(xì)節(jié)的處理器也有影響。采用這些芯片的Windows、Linux、macOS、Android等主流操作系統(tǒng)和電腦、平板電腦、手機、云服務(wù)器等終端設(shè)備都受上述漏洞的影響。應(yīng)該說，這是跨廠商、跨國界、跨架構(gòu)、跨操作系統(tǒng)的重大漏洞事件，幾乎席卷了整個IT產(chǎn)業(yè)。

《華爾街日報》報道稱，Project Zero安全團隊在2017年6月1日向英特爾和其他芯片生產(chǎn)商告知漏洞情況后，在7個月時間里，英特爾一直在努力聯(lián)合其他主流芯片廠商、客戶、合作伙伴，包括蘋果、谷歌、亞馬遜公司和微軟等在加緊解決這一問題，一個由大型科技公司組成的聯(lián)盟正展開合作，研究并準(zhǔn)備應(yīng)對方案。

據(jù)消息人士透露，該聯(lián)盟成員之間達(dá)成了保密協(xié)議，延遲公開，研究開發(fā)解決方案，確保公布漏洞后“準(zhǔn)備就緒”。該消息人士還稱，原計劃1月9日公開，而由于科技媒體The Register在1月2日就曝光了芯片漏洞問題，導(dǎo)致英特爾等公司提前發(fā)布了相關(guān)公告。

在芯片漏洞曝光后的第二天，1月3日英特爾公布了最新安全研究結(jié)果及英特爾產(chǎn)品說明，公布受影響的處理器產(chǎn)品清單。

1月4日，英特爾宣布，與其產(chǎn)業(yè)伙伴在部署軟件補丁和固件更新方面已取得重要進(jìn)展：英特爾已針對過去 5 年中推出的大多數(shù)處理器產(chǎn)品發(fā)布了更新，到這個周末，發(fā)布的更新預(yù)計將覆蓋過去 5 年內(nèi)推出的 90% 以上的處理器產(chǎn)品。

隨后，微軟、谷歌以及其他一些大型科技公司相繼發(fā)布關(guān)于漏洞的應(yīng)對方案，表示他們正在或已對其產(chǎn)品和服務(wù)提供更新。

微軟發(fā)布了一個安全更新程序，以保護(hù)使用英特爾和其他公司芯片的用戶設(shè)備。

蘋果確認(rèn)所有的Mac系統(tǒng)和iOS設(shè)備都受到該漏洞影響，但已發(fā)布防御補丁。

谷歌表示，漏洞問題影響到英特爾、AMD和ARM的芯片，并稱其已更新了大部分系統(tǒng)和產(chǎn)品，增加了防范攻擊的保護(hù)措施。

高通表示，針對受到近期曝光的芯片級安全漏洞影響的產(chǎn)品，正在開發(fā)安全更新。

有網(wǎng)絡(luò)安全專家認(rèn)為，雖然漏洞影響范圍廣泛，對于普通用戶來說，大可不必過于恐慌，但受影響最大的主要是云服務(wù)廠商。而主要的云服務(wù)廠商已公布了應(yīng)對方案和時間表。

亞馬遜 AWS的技術(shù)部門的服務(wù)人員回復(fù)稱新的服務(wù)器默認(rèn)已經(jīng)有補丁，不會有影響

阿里云 在1月12日凌晨1點采用熱升級的方式進(jìn)行虛擬化底層的更新。

騰訊云 在1月10日凌晨01：00～05：00通過熱升級技術(shù)對硬件平臺和虛擬化平臺進(jìn)行后端修復(fù)，對于極少量不支持熱升級方式的服務(wù)器，騰訊云安全團隊將會另行進(jìn)行通知。

百度云 在虛擬機和物理機兩個層面進(jìn)行修復(fù)工作，并于2018年1月12日零點進(jìn)行熱修復(fù)升級。

華為云 正在對漏洞進(jìn)行分析，跟進(jìn)主流操作系統(tǒng)發(fā)布補丁的情況，截至目前，尚未監(jiān)測到有針對此漏洞的攻擊程序。

AI商業(yè)認(rèn)為，幸好不是漏洞一發(fā)現(xiàn)就公布，否則，在沒有應(yīng)對方案出來的時候就公布，會引起更大的安全擔(dān)憂或恐慌。 而延遲到現(xiàn)在公布漏洞，英特爾、微軟等主要廠商已做好充足的準(zhǔn)備，相繼發(fā)布了補丁和更新方案。

芯片漏洞堪比“千年蟲”，

需要大家“在一起”

在整個IT發(fā)展史上，隨著技術(shù)發(fā)展所暴露出來的計算機軟件或設(shè)計漏洞可以說是一種難以避免的現(xiàn)象。因為，技術(shù)在發(fā)展，黑客技術(shù)也在不斷發(fā)展，多年前沒發(fā)現(xiàn)存在漏洞，多年后就可能發(fā)現(xiàn)存在漏洞?！澳阈呕虿恍牛┒纯赡芫驮谀抢?，只是還沒人能夠發(fā)現(xiàn)”。

而一旦漏洞被發(fā)現(xiàn)，只有積極應(yīng)對解決，才能避免損失，防患于未然。芯片是整個信息系統(tǒng)的“心臟”和核心。解決這種芯片級的、前所未有的，涉及面極廣的、高危級別的重大安全漏洞，難度系數(shù)可想而知！

這已不是芯片領(lǐng)頭廠商英特爾一家可以解決的，也不只是英特爾、ARM、AMD等芯片廠商應(yīng)該積極應(yīng)對的問題。而且，根據(jù)英特爾、微軟等廠商公布的信息看，到現(xiàn)在還不能說完全解決漏洞問題。好在，到目前為止沒有一個實際被攻破的案例，各家公司都表示未發(fā)現(xiàn)利用上述漏洞發(fā)動攻擊的證據(jù)。

AI商業(yè)認(rèn)為，這次芯片漏洞事件堪比當(dāng)年的“千年蟲”問題，已成為“一損俱損”的全行業(yè)事件，需要整個產(chǎn)業(yè)鏈的密切配合、共同解決。解決得好，大家都化險為夷，而萬一出現(xiàn)安全攻擊事件，損害的不僅是英特爾或哪一家廠商，而是整個產(chǎn)業(yè)。

這不僅讓人回想起當(dāng)年整個產(chǎn)業(yè)“集體”應(yīng)對“千年蟲”問題時的場景?！扒晗x”算是一種程序處理日期上的bug。由于其中的年份只使用兩位十進(jìn)制數(shù)來表示，因此當(dāng)系統(tǒng)進(jìn)行跨世紀(jì)的日期處理運算時，就會出現(xiàn)錯誤的結(jié)果，進(jìn)而引發(fā)各種各樣的系統(tǒng)功能紊亂甚至崩潰。

20世紀(jì)90年代末，“千年蟲”問題是許多專家廣泛討論的話題，它可能引發(fā)飛機碰撞、輪船偏離航向、證券交易所崩盤等問題，一旦出錯后果不堪設(shè)想。

而“千年蟲”問題之所以基本平穩(wěn)地度過，與政府和整個產(chǎn)業(yè)的重視和大力修復(fù)分不開，當(dāng)然也離不開媒體鋪天蓋地的宣傳。就算這樣，也有少數(shù)落后國家不夠重視或者資金技術(shù)不足，導(dǎo)致“千年蟲”發(fā)作，一些政府機構(gòu)和電力系統(tǒng)運行癱瘓。

所以，AI商業(yè)認(rèn)為，相關(guān)廠商、用戶和政府部門都應(yīng)該拿出當(dāng)年應(yīng)對“千年蟲”問題的態(tài)度來積極應(yīng)對，防患于未然。一要密切跟蹤該漏洞的最新情況，及時評估漏洞的影響。二要對芯片廠商、操作系統(tǒng)廠商和安全廠商等發(fā)布的補丁及時跟蹤測試，制定修復(fù)工作計劃，及時更新安裝。

我們相信，只要齊心協(xié)力，積極應(yīng)對，芯片漏洞問題最終也將是“虛驚一場”。endprint