> 笔记本

更多频道

英特尔只是背锅侠?处理器漏洞门为何波及全行业

01安全漏洞波及面之广始料未及

最近围绕处理器底层设计出现漏洞,而容易遭到Meltdown(熔断)和Spectre(幽灵)安全漏洞攻击威胁,从而可能影响用户数据安全的事件,英特尔着实承受了不小的压力。作为吃瓜群众中的一员,笔者起初也和大家一样,是通过外媒发布的测试报告来了解这次事件,认为这样的漏洞就是出自于英特尔一家,并且还关闭了家里电脑的自动更新,来避免因安全漏洞更新补丁造成的性能损失。毕竟最高可能30%的性能损耗,对于处理器而言真的是致命伤。

·安全漏洞只是X86一家问题吗?

不过随着事件的发酵,以及包括高通、苹果、AMD等在内的公司相继发布声明,承认其芯片同样存在相应漏洞,同样存在易受Meltdown(熔断)和Spectre(幽灵)攻击的风险之后,种种迹象表明这应该是整个处理器芯片底层设计的行业性问题,并不是某一家存在的问题。

AMD官网有关于处理器安全性的说明(点击图片跳转AMD官网)

而且,这样的漏洞不仅仅只存在于英特尔和AMD的X86架构处理器当中,包括高通、苹果、三星、NVIDIA Tegra等基于ARM架构设计的部分处理器,也未能幸免于难。

苹果推送的iOS 11.2.2更新将修复安全漏洞

根据苹果官网给出的关于安全更新的内容来看,苹果指出熔断和幽灵攻击方式适用于所有现代处理器(This issues apply to all modern processors),并影响几乎所有的计算设备和操作系统,所有的Mac系统和iOS设备都会受到不同程度的影响。

此外,根据Venturebeat报道,ARM公司在1月4日承认其一系列Cortex架构处理器均有被攻击风险。同时ARM还通过一张表格指出了存在风险的平台,包括Cortex-A8、A9、A15、A17、A57、A72、A73,以及A75均受到熔断和幽灵威胁。

这意味着,包括iOS设备,甚至是索尼Playstation Vita,以及基于部分NVIDIA Tegra芯片和高通骁龙系列芯片的设备,都有被熔断和幽灵攻击的风险,不只是我们的电脑设备存在这样的风险。

同样在1月4日,IBM官方也发布说明,确认谷歌Zero项目组将POWER架构处理器列入受影响名单是正确的。包括POWER 7+、POWER 8以及POWER 9在内的处理器均会遭受熔断和幽灵威胁。而IBM POWER于1月9日上线了三款处理器的固件补丁,POWER 7+之前的处理器补丁还在研究当中。

IBM官网发布的POWER架构处理器安全声明(点击图片跳转IBM官网)

由此可见,本次安全漏洞问题其实并不是某一家单独存在的问题,而是一整个行业所面临的问题,如果忽视或规避这样的问题,就会对用户造成潜在的安全风险。而目前所要做的,就是能够多方联合,共同通过硬件更新来抵御可能存在的风险或攻击。

不过,综合英特尔官方、苹果官方、AMD官方、高通官方等消息来看,截至目前为止,还并未发现有利用该漏洞攻击普通消费者的实例,这应该能让大众用户舒一口气了。

·普通用户如何规避安全风险?

另外,各家给出的针对于安全漏洞的解决方案也与不少媒体宣称的不同,包括英特尔、苹果、高通等在内,都建议用户应该积极通过更新相应平台发布的安全漏洞更新补丁,来避免遭受熔断和幽灵可能造成的攻击。

·硬件更新会影响性能吗?

那么涉及到漏洞更新,问题就又来了。因为从外媒发布的测试数据来看,硬件更新将导致处理器性能有5%-30%左右的性能损失。其实包括笔者在内的不少吃瓜群众,也是因为看到了这个消息才把系统的自动更新关闭。那么这一点是否正确呢?

首先,从目前所有发布的测试数据来看,不可否认的一点是本次硬件漏洞更新会导致硬件性能下降,而且越老的硬件受到的影响越大。

其次,综合多方消息来看,由于本次漏洞涉及到处理器底层硬件设计,所以一方面修复起来非常困难,另一方面想要得到完美修复同样非常困难。

当然我们也不能只看外媒发布的测试数据,还是要看看“涉事方”发布的研究报告。

根据英特尔官方披露的研究结果来看,更新对于大部分用户的影响并不具有想象中的普遍性。英特尔的安全人员对更新进行了测试,发现性能影响确实存在,但是只有某些特定工作负载下才会受到影响,普通大众玩游戏、看电影、处理日常工作等,所受影响微乎其微。可以放心进行补丁更新。

而根据腾讯安全团队的实际测试来看,同样指出“性能问题对于普通用户来说影响并不大:只有在极端测试下,才会出现明显的性能问题;而正常的使用过程中一般不会出现。

360安全专家也表示:“这种说法(性能下降30%)比较片面,30%的性能损失是在比较极端的专门测试情况下出现的。通常的用户使用情况下,尤其在用户的电脑硬件较新的情况下,这些补丁的性能损失对用户来说是几乎可以忽略不计。

·目前事件进展

本次处理器安全漏洞之所以将矛头指向英特尔,一方面确实是因为英特尔处理器存在遭受熔断和幽灵攻击的风险,另一方面也是因为使用的测试平台是应用范围相当广的英特尔处理器平台。同时,外媒早先发布的测试结果都只是基于英特尔处理器平台给出的结果,并未对其它处理器平台做同样的安全测试,致使英特尔替整个行业背了一口大锅。

不过正如华尔街日报援引安全专家的话指出的那样,英特尔在事件披露方面做的乱七八糟。不过就笔者来看,相对于那些起初不愿承认安全漏洞的公司来说,英特尔至少没有掩盖事实真相,并且积极与行业其他公司联手来共同寻求解决问题的方法。

在CES 2018英特尔主题演讲环节中,英特尔CEO科再奇表示,“英特尔下周将推送安全更新补丁,首批补丁覆盖90%以上的处理器,另外没有覆盖到的处理器将在1月底的更新推送后解决相应问题”。总体来说,包括谷歌、英特尔、苹果、微软等在内的公司,通过相对快速的应对机制,将熔断和幽灵可能造成的安全威胁扼杀在了摇篮里。

展开剩余50%
下载ZOL APP秒看最新热品

热门评论

全部更多评论

相关阅读

点击加载更多
全站导航

发评论,赚金豆

0 0