長江商報(bào)消息 在谷歌零項(xiàng)目組團(tuán)隊(duì)日前發(fā)表關(guān)于芯片漏洞的具體情況后�����,包括英特爾�、AMD���、ARM以及蘋果、高通�、IBM等在內(nèi)的多家公司均發(fā)表聲明,承認(rèn)其芯片也存在漏洞�,有被熔斷(Meltdown)或幽靈(Spectre)攻擊的風(fēng)險(xiǎn)。
蘋果官網(wǎng)稱���,熔斷和幽靈攻擊方式適用所有現(xiàn)代處理器�,并影響幾乎所有的計(jì)算設(shè)備和操作系統(tǒng)�����,包括Mac系統(tǒng)和iOS設(shè)備���,但到目前為止,尚未有利用該漏洞攻擊消費(fèi)者的實(shí)例��。高通則在美國時(shí)間1月5日表示�,對受近期曝光的芯片級安全漏洞影響的產(chǎn)品,公司正在開發(fā)更新�。
Canalys(英國IT行業(yè)分析公司)分析師賈沫對記者表示,這次谷歌公布的漏洞主要有兩個(gè)�����,它們都是基于英特爾、AMD和ARM處理器的內(nèi)核架構(gòu)端的漏洞���,而這次的漏洞跟以往很大不同是硬件端的�。從對行業(yè)的影響來講��,這是行業(yè)內(nèi)CPU內(nèi)核架構(gòu)普遍存在的問題�����。
漏洞波及大公司
由于芯片“漏洞門”不斷發(fā)酵�,英特爾目前在市值上已經(jīng)損失了接近110億美元,股價(jià)在上周三大跌5.5%�,創(chuàng)下了2016年10月以來最大的跌幅,而亞馬遜���、蘋果�����、微軟和IBM等科技巨頭紛紛在這次漏洞面前無一幸免�。
“熔斷所利用到的漏洞廣泛存在于英特爾和AMD的處理器中�����,ARM的Cortex A75也有所涉及,但因?yàn)锳75是Snapdragon845所用到的內(nèi)核��,目前而言�,meltdown對手機(jī)行業(yè)的影響可能并不明顯��。但是不排除meltdown會(huì)影響ARM其他型號(hào)的內(nèi)核���,比如有工程師測試出對Cortex A15��、A57和A72也會(huì)有影響����!辟Z沫對記者說�。
對于幽靈�,賈沫認(rèn)為�����,因?yàn)樯婕暗礁A(chǔ)的架構(gòu)��,所以影響的范圍更廣一些�����。目前信息是Cortex A8��、A9���、A15��、A17和A57��、A72�、A73�、A75這些會(huì)受到影響,這樣波及到的手機(jī)就會(huì)比較多了���,比如蘋果的iPhone系列 (A8�、A9)���,甚至華為的麒麟970使用的也是A72�����。
對于芯片安全隱患的問題���,高通稱���,正在積極開發(fā)部署漏洞修復(fù)的解決方案,并會(huì)繼續(xù)盡最大努力加強(qiáng)產(chǎn)品安全��,在部署解決方案的同時(shí)鼓勵(lì)消費(fèi)者在補(bǔ)丁發(fā)布后更新他們的設(shè)備���。
不過,高通發(fā)言人并未具體指明哪些型號(hào)受到了影響��,有業(yè)內(nèi)人士猜測高通即將推出的驍龍845芯片很有可能在受影響名單中�,因?yàn)樗捎昧薃RM的Cortex A75核心,而這個(gè)核心恰恰受到了漏洞的影響��。高通股價(jià)在上周五盤后交易中下跌約1%�。
最為“坦誠”的是蘋果,蘋果稱Meltdown和Spectre缺陷與計(jì)算機(jī)芯片設(shè)計(jì)基本架構(gòu)有關(guān)��,要完全屏蔽非常困難和復(fù)雜��,新版攻擊代碼可能會(huì)繞過現(xiàn)有補(bǔ)丁軟件�,去竊取存儲(chǔ)在芯片內(nèi)核內(nèi)存中的機(jī)密信息。目前包括Mac系統(tǒng)和iOS設(shè)備的所有產(chǎn)品都會(huì)受到影響��。
漏洞雖然存在 無需過度反應(yīng)
從X86到Arm���,再到Power架構(gòu),在芯片漏洞爆發(fā)之后�,先進(jìn)處理器無一幸免。
其中“受損最大”的英特爾在給記者的一份回應(yīng)聲明中提到��,目前英特爾已經(jīng)針對過去5年中推出的大多數(shù)處理器產(chǎn)品發(fā)布了更新�����。本周末前���,英特爾發(fā)布的更新預(yù)計(jì)將覆蓋過去5年內(nèi)推出的90%以上的處理器產(chǎn)品�����。此外�,許多操作系統(tǒng)供應(yīng)商�����、公共云服務(wù)提供商、設(shè)備制造商和其他廠商也表示�����,他們正在或已對其產(chǎn)品和服務(wù)提供更新�。
針對熔斷攻擊,蘋果也表示��,已發(fā)布的iOS 11.2���、macOS 10.13.2�,以及tvOS 11.2已有防范措施��,并且將會(huì)更新Safari�。為防范幽靈攻擊��,蘋果也在對這兩種漏洞進(jìn)行進(jìn)一步研究�,將在iOS、macOS���,以及tvOS更新中發(fā)布新的解決方案���。
但谷歌零項(xiàng)目組博客顯示���,AMD和Arm處理器在前兩種攻擊方式中難以幸免�����。這意味著�,從iOS設(shè)備到索尼的PlayStation Vita,從Nvidia的Tegra系列芯片�,到更多的廠商和產(chǎn)品都有被熔斷和幽靈這兩種方式攻擊的風(fēng)險(xiǎn)。
甚至有計(jì)算機(jī)體系結(jié)構(gòu)專家認(rèn)為���,熔斷風(fēng)險(xiǎn)已經(jīng)被暴露出來���,能直接偷瀏覽器密碼,全世界都看到了演示�����,幽靈的風(fēng)險(xiǎn)也很大��,只不過還沒有實(shí)例釋放出來�����。
集邦拓墣產(chǎn)業(yè)研究院分析師姚嘉洋對記者表示��,目前幾乎各大供貨商都有提出針對芯片問題采取的應(yīng)對措施���,芯片漏洞雖然存在�,但無需過度反應(yīng)���。但他也坦言���,各大處理器廠商在現(xiàn)階段都有被攻擊的風(fēng)險(xiǎn),而對于下游�,應(yīng)該思考如何降低“萬一被攻擊”所造成的影響。
“市場上可能在某種程度上有些夸大的成分在�����,就系統(tǒng)設(shè)計(jì)的角度來看��,肩負(fù)起安全的工作�,不光只是有處理器與操作系統(tǒng)從業(yè)者,像是英飛凌與NXP也都有提供相當(dāng)獨(dú)到的安全芯片�����,來補(bǔ)強(qiáng)系統(tǒng)的安全效能��!币窝蟊硎�����,對于芯片商來說�����,在下一代的處理器設(shè)計(jì)上�,是否要從最基本的架構(gòu)進(jìn)行翻新?這將是處理器從業(yè)者必須思考的課題�����,畢竟架構(gòu)翻新�����,也有可能會(huì)帶來性能無法有效提升的風(fēng)險(xiǎn)�。
(第一財(cái)經(jīng)日報(bào))
責(zé)編:ZB
鄂公網(wǎng)安備 42010602000264號(hào)
