英特(tè)爾、它的主要競爭對手AMD以及芯片設計廠商(shāng)ARM本周均稱,它們的部分(fèn)處理器(qì)存在可能會被黑(hēi)客利用的安全漏洞(dòng),這一問題影響電腦、智能手機和其它設備所(suǒ)使用(yòng)的各種芯片,但到目前為止(zhǐ)與任何的(de)黑(hēi)客攻擊事件都無關聯。
在芯(xīn)片漏洞(dòng)本周(zhōu)被曝光以前,芯片廠商們(men)以及它們的(de)客戶和合作夥伴,包括蘋(píng)果、Alphabet旗下的(de)穀歌、亞馬遜和微軟(ruǎn),就已經在加緊解決問題。一個由大型科技公(gōng)司組成的聯盟在聯手保護它們的服務器,並向(xiàng)用戶的(de)計(jì)算機和智能手機提供補丁(dīng)。
所涉的漏洞可能會讓黑客能夠竊取諸如密碼的敏感信息,影響範圍包括來(lái)自各家公司的多數現代芯片。但主(zhǔ)導(dǎo)服務器和PC芯(xīn)片市場的英特爾受到了最為直接的影(yǐng)響,它的股價連續兩(liǎng)天出現下跌。
去年6月1日,穀歌Project Zero安全團隊的一位成(chéng)員告知英特爾和其它的芯片廠商漏洞的問題。即便(biàn)早早就(jiù)知道,英特爾等公司也仍在努力解決安全漏洞(dòng)。一個問題在於,將安全更新推送到(dào)數十億部設備。另一個問題在(zài)於,部分安全補(bǔ)丁可能會減慢設備的運行,因為那些漏(lòu)洞影(yǐng)響到意(yì)在提高處理器運行速度的芯片功能。
截至周(zhōu)四,各(gè)家企業都表示沒有發現利用芯片漏(lòu)洞的黑客攻擊證據。要是黑客(kè)真那(nà)麽做,那他們很可能會去攻擊英特爾製造(zào)的(de)芯片(piàn)。那是因為該公司是全球第一大微處理器(qì)廠商,其芯片內在的漏洞至少可以追溯到10年前。
該問題引發了人們對(duì)英特爾產品(pǐn)安全性的懷(huái)疑,眾多客戶(hù)需要采取行動保護自身的係統。它也凸顯了一點(diǎn):芯(xīn)片和運行於芯片的軟件日益複雜化,讓它們變(biàn)得難以鎖定,同時也使得它們會隱藏數年未被發現的漏洞(dòng)。
“人們在重新評估現代硬件安全屬性的核心(xīn)原則。我們的很多假定都被違反了(le),需要重新進行評估。”安全研究者科恩·懷特(Kenn White)指出(chū)。
不過,在科技戰略研究(jiū)公司Tirias Research的吉姆·麥克格雷格(Jim McGregor)看來,英特爾受到的影響可(kě)能會很(hěn)有限。“當你掌控很大一部分(fèn)市場,你廣泛地覆(fù)蓋客戶的時候,你能夠逃脫懲罰。”他(tā)說道。
英特爾說,預計到下周末,它就能向過去5年推出的90%以上處理器提供軟件更(gèng)新。
其(qí)它的公司已(yǐ)經發布補丁。蘋(píng)果稱,除了它的(de)移動設備和電腦以外,Apple TV電視機頂盒也(yě)受(shòu)到影響,Apple Watch智能手表倒沒受影響。它還說,為蘋果Safari網絡瀏覽器解決Spectre漏洞的補丁預計將(jiāng)在未來幾(jǐ)天發布。
蘋果指出,它的補丁不會造成設備運行變慢。穀歌周(zhōu)四也表示,它所開發的補丁“對設備性能的影響可以忽略。”英特爾稱,對於普通用戶來說,任何性能減退都會很有限,且會隨著時間的推移而慢慢消失。它還說,公司計劃在一年內重新設計芯片,預計(jì)此次安全(quán)問題不(bú)會帶來任何的財務影響。
周(zhōu)四,英特爾股價下跌到44.43美元,較周二的收盤價(漏洞(dòng)問題曝光(guāng)以前)累計下跌5.2%。包(bāo)括AMD和英偉達在內的其它芯(xīn)片廠商股(gǔ)價則(zé)出現上揚。
問題存在已久
研究人員接觸那些漏洞已經有一年多的時間。2016年8月,在拉斯維加(jiā)斯的Black Hat網絡安全大會上,兩位研究(jiū)者安德斯·福(fú)格(Anders Fogh)和丹尼(ní)爾·格拉斯(Daniel Gruss)演示了漏洞的早期跡象。福格在去年7月還就此發表博文,鼓勵其他的研究者去展開調查(chá)。
與此同時,穀歌內部的安全研究(jiū)團隊Project Zero的雅恩·霍(huò)恩(Jann Horn)早已揭開該問題,並通知了英特爾。最終,來自全球(qiú)各地的三個其它的研究團隊就同樣(yàng)的問題聯係英特爾,英特爾接著與他(tā)們一(yī)道交流和撰寫論文。
其中一位(wèi)研(yán)究者丹尼爾·格恩金(Daniel Genkin)指出,他們發現芯片的漏洞可追溯到(dào)2010年,並認為那些問題(tí)甚至可追溯到更久以前。“帶來這種漏洞的通用架構原則(zé)有幾十年曆史(shǐ)了,”他說,“我沒有去(qù)啟動一台來自1995年的電腦探個究竟,但那些原則那時候(hòu)就存在(zài)。”
福格說(shuō)道,研究人員之所以(yǐ)同時發(fā)現同樣的長期漏洞,是因為此前的研究打下(xià)了基礎,其中包括他在2016年的演示。那為什麽英特爾沒有更早發現漏洞呢?“好問題,我還(hái)真回答不了。”他(tā)說。
英(yīng)特爾數據中心工(gōng)程副總裁史蒂芬(fēn)·史密斯(Stephen Smith)指(zhǐ)出,公司一直以來(lái)都在(zài)設法提升它的產品安全性。
監管文(wén)件顯示,在英特爾與合(hé)作夥伴們(men)一起努力(lì)解決問題期間,英特爾CEO布萊恩·科茲安尼克(Brian Krzanich)在去年11月出售他的公司(sī)股票(piào)和期權(quán)套現2400萬美元,保留了25萬股股票,從該公司最近的代理委(wěi)托(tuō)書來看,那是公司對他的最低持股量要求。
英特爾發言人表示,那次售股與此次安全問題無(wú)關,是依照預先安排的、帶(dài)有自動出售時間表的計劃。
英特爾和由科技公司和(hé)研究者組成的大聯盟計劃在1月9日對外披露漏洞問題。但本周,科技新聞(wén)網(wǎng)站The Register在跟蹤研(yán)究該漏洞的補丁的程序員的在線討論後率先進行了曝光。
英特(tè)爾、AMD和ARM事先通(tōng)知了部分大客戶,但The Register的報道讓小公(gōng)司措手不及。雲計算提供商DigitalOcean的首席(xí)安全官約什·芬布魯(lǔ)姆(Josh Feinblum)上周末(mò)從同行那裏獲悉漏洞問題。他說,他一直在盡可能快(kuài)速地修(xiū)複他的係統,對於目前的(de)成果感到滿意(yì)。
“Linux之父”林納斯·托瓦茲(Linus Torvalds)批評英特爾(ěr)沒有承認問題,最初說芯片按照預想運行。“我認為,英(yīng)特爾內部的某(mǒu)個人(rén)需要認真審視他們的CPU問題,承認(rèn)它們存在問題,而不是撰寫公關文章大肆宣稱一切都如計劃發(fā)展。”他在周三(sān)致Linux程序員的電子郵件(jiàn)中寫道。
懷特表示(shì),雖然英特爾在事件的(de)披(pī)露方麵做得亂七八糟,但考慮到事情的性質和影響範圍,該公司“或許還算處理(lǐ)得不錯。”他說道,研究人員稱部分補丁的開(kāi)發“涉及一些新的計算機科(kē)學領域(yù)。”“該項工作非常複雜,複雜到令人驚異。”
該事件讓人們擔心,基於那些新發(fā)現的漏洞展開的(de)攻擊,可能已經發生了好幾年,卻未被發現。部分技術人員認為,這種情況可能性不大,因為那需要有複雜的黑客技(jì)術。例如,穀歌(gē)方(fāng)麵稱它(tā)沒能找到(dào)辦法去利(lì)用androids手機(jī)中的漏洞(dòng),但考慮到有人或許能夠利用的(de)風險,它(tā)還是(shì)為那些設備提供安全補丁(dīng)。
其他人(rén)表示,如果白帽黑客——發現及修補安全漏洞的合法黑客——能夠(gòu)發(fā)現漏洞,那麽為非作歹(dǎi)的黑帽黑客也能夠發現。
懷特指出,隨著漏洞問題如今被曝光,用戶(hù)也要保護好自己。“這些是非常(cháng)複(fù)雜的攻擊,需要各種背景知識(shí)和理解。”他說,“但它一旦出現,就(jiù)會轉變成代碼攻擊。”
香港昆侖科技有(yǒu)限公(gōng)司主要致力於地鐵,高速公路隧道,石油化工(gōng),冶金(jīn)核電,海(hǎi)工造船。橋梁礦山等行業內部應急專用通訊係統,風景區,機場遊客求助管理係統(tǒng),市政SOS,110,119報警係統。特(tè)種工(gōng)業IP電話機,SOS 電話機(jī),IP調(diào)度係統的研發、生產(chǎn)和銷售。
