今年初,Google 安全团队 Project Zero 最早发现芯片漏洞 Meltdown(熔断)和 Spectre(幽灵),黑客可以直接读取核心内存,拿走敏感信息。

漏洞波及英特尔近十年的核心处理器产品,也意味着影响几乎世界上所有的计算机设备。随后英特尔发布安全补丁,但问题至今还没有结束。

周一,英特尔和微软公开了一个新的漏洞变种,命名“变体 4 号(Variant 4)”。它和 1 月份的漏洞属于同一类型,只不过通过另外的方法获取敏感信息。

在一篇博客文章中,英特尔表示已经将变种 4 标记为“中级风险”,危险系数不高,和该漏洞有关的几个缺陷在此前的安全补丁中已经得到解决。目前他们没有检测到黑客利用变种 4 发起攻击,英特尔也承诺将在“未来数周”发布新的安全补丁。

史无前例的芯片漏洞被曝光后,计算机安全领域一直在关注可能发生的 Meltdown 和 Spectre 变体。5 月初一家德国计算机科学杂志报道称,已经有人发现了英特尔芯片的新一代漏洞,当时英特尔拒绝置评。

半年时间过去,这场波及全球上亿台计算机的漏洞事件并没有彻底解决。

两个漏洞利用了现代 CPU 架构中对程序指令进行预测执行的功能,攻击者可以通过权限较低的恶意程序,滥用预测执行功能访问高权限的内存,获得经过内存的所有信息。

简单来说就是计算机 CPU 的底层逻辑出现了漏洞,并且是硬件上的漏洞。几乎所有计算机芯片公司,包括英特尔、AMD 的 PC 及数据中心处理器、采用 ARM 架构的移动设备芯片、英伟达的显卡都要升级固件打上补丁。随后苹果、微软、Linux 核心开发组、亚马逊也都先后发布系统更新。

不过这也是治标不治本的方法。通过在软件上打补丁的方式会让处理器性能降低。根据英特尔的测算,运行在第 6、7、8 代酷睿处理器+固态硬盘的 Windows 10 电脑在 Office 工作效率、数字内容编辑和数据分析等场景下都有不同程度的性能下降。相比打补丁之前,下降幅度在 1-14% 之间。

MIT Technology View 预计事件影响至少有 30 亿个电脑芯片。大部分普通用户的电脑察觉不到这样微小的性能变化。但对于那些大规模采用英特尔处理器的数据中心和云服务商、出售计算性能的平台,比如亚马逊 AWS、微软 Azure、阿里云,这个影响就无法忽略了。

(来源:qdaily)

20160630000123