“芯片漏洞”堪比“千年虫”,影响面太大能顺利解决吗??
今年新年刚过,几乎席卷整个IT产业的芯片脆弱性事件爆发,刚放松的神经紧张。
根据国内外媒体的公开,事件的来源如下:
2017年,谷歌旗下的ProjectZero团队发现了CPUSpeculativexecution引起的芯片级脆弱性、Spectre(变体1和变体2:CVE-2017-5753和CVE-2017-5715)和Meltdown(变体3:CVE-2017-5754),这三个脆弱性都是先天性的框架设计缺陷,因此可以访问非内部信息。
2017年6月1日,Project的Zero安全队的一名成员向英特尔和其他芯片制造商通知了这些脆弱性,到2018年1月2日为止,科技媒体Therrregister发表的文章中暴露了上述CPU脆弱性,芯片安全脆弱性的问题浮出水面,英特尔陷入了突然的危机,股价下跌。
芯片安全漏洞爆炸后,媒体和行业备受瞩目:不仅将在CPU中市场份额占绝对优势的英特尔投入舆论漩涡,还引起了安全问题的担心。小费漏洞的问题已经被发现问题,为什么发表了呢英特尔有意隐瞒吗?
延期发布,为准备应对方案赢得时间
从媒体发布的情况来看,1995年以来大部分批量生产的处理器可能受到上述脆弱性的影响,大部分通用操作系统都有关系。
以英特尔为主,但ARM、高吞吐量、AMD等大部分主流处理器芯片也受到漏洞的影响,IBM对POWER细节的处理器也有影响。采用这些芯片的Windows、Linux、macOS、Android等主流操作系统和计算机、平板电脑、手机、云服务器等终端设备都受到上述漏洞的影响。
这应该说是跨厂商、跨境、跨架构、跨操作系统的重大漏洞事件,几乎席卷了整个IT产业。
据《华尔街日报》报道,Projectozero安全团队于2017年6月1日向英特尔和其他芯片制造商通知脆弱性后,这7个月,英特尔与其他主流芯片制造商、客户、合作伙伴合作,苹果、谷歌、亚马逊
据消息人士透露,该联盟成员之间达成保密协议,延迟披露,研发解决方案,确保披露漏洞后准备就绪。该消息人士还表示,原计划于1月9日发布,但由于科技媒体The和Registe在1月2日暴露了芯片漏洞,英特尔等公司提前发布了相关公告。
芯片漏洞曝光后的第二天,1月3日,英特尔公布了最新的安全研究结果和英特尔产品说明,并公布了受影响的处理器产品清单。
1月4日,英特尔宣布,与其产业合作伙伴在部署软件补丁和固件更新方面取得了重要进展。英特尔已经更新了过去5年发售的大部分处理器产品,到本周末发表的更新预计将复盖过去5年发售的90%以上的处理器产品。
随后,微软、谷歌以及其他一些大型科技公司相继发布关于漏洞的应对方案,表示他们正在或已对其产品和服务提供更新。
微软为了保护使用英特尔等公司芯片的用户设备,发布了安全更新程序。苹果公司确认所有Mac系统和iOS设备都受到该漏洞的影响,但发布了防御补丁。谷歌表示,已经更新了大部分系统和产品,增加了防止攻击的保护措施。高吞吐量表示,对于最近曝光的芯片级安全漏洞影响的产品,正在开发安全更新。
网络安全专家认为,脆弱性的影响范围对普通用户不必太恐慌,但影响大的主要是云服务制造商。大部分云服务厂家也公布了应对方案和时间表。
蚂蚁云:1月12日凌晨1点以热升级方式更新虚拟基础。
腾讯云:1月10日凌晨01:00-05:00通过热升级技术对硬件平台和虚拟化平台进行后端修复,对于极少数不支持热升级方式的服务器,腾讯云安全
百度云:将在虚拟机和物理机两个层面进行修复,优艾设计网_Photoshop百科并将于2018年1月12日零点进行热修复升级。
华为云:分析漏洞,跟进主流操作系统发布补丁。
AWS:新的服务器默认有补丁。
AI商能商业认为,幸运的是,一旦发现漏洞,它就不会公布,否则,如果没有应对方案,它会引起更大的安全担忧或恐慌。延迟到现在发表漏洞,英特尔、微软等主要厂商已经做好了充分的准备,陆续发表了补丁和更新方案。
芯片脆弱性可与千年虫匹敌,在IT发展史上,随着技术发展暴露的计算机软件和设计脆弱性可以说是不可避免的现象。因为技术在发展,黑客技术也在发展,多年前没有发现漏洞,多年后可能发现漏洞。你相信还是不相信,漏洞可能在那里,但是谁也找不到。
而一旦漏洞被发现,只有积极应对解决,才能避免损失,防患于未然。
芯片是整个信息系统的心脏和核心。解决这样芯片级的、前所未有的,涉及面极广的、高危级别的重大安全漏洞,难度系数可想而知!
这不仅仅是芯片领导制造商英特尔能够解决的问题,也不仅仅是英特尔、ARM、AMD等芯片制造商应该积极应对的问题。此外,根据英特尔、微软等制造商发布的信息,到目前为止还不能完全解决漏洞问题。幸运的是,迄今为止没有实际被破坏的案例,各公司没有发现利用上述脆弱性发动攻击的证据。
AI商业认为,这次芯片脆弱性事件与当时的千年虫问题相当,已经成为全行业的事件,需要整个产业链的密切合作,共同解决。解决得很好,大家都把危险变成夷,万一发生安全攻击事件,损害的不仅是英特尔和哪个制造商,也是整个产业。
这不仅让人回想起当年整个产业集体应对千年虫问题时的场景。
千年虫是程序处理日期的错误。其中一年只用两位十进制表示,系统跨世纪的日期处理运算会产生错误的结果,引起各种系统功能障碍和崩溃。
90年代末,千年虫问题是许多专家广泛讨论的话题,可能引起飞机冲突、船舶偏离航向、证券交易所崩溃等问题,错误的结果无法想象。
千年虫问题基本稳定地度过,与政府和产业整体的重视和强烈的修复分不开,媒体铺天盖地的宣传也是必不可少的。即便如此,也有少数落后国家不够重视或缺乏资金技术,导致千年虫发作,部分政府机构和电力系统运行瘫痪。
因此,人工智能商业认为,相关制造商、用户和政府部门应采取当年应对千年虫类问题的态度积极应对,防止事故发生。
必须密切跟踪该漏洞的最新情况,及时评估漏洞的影响。第二,应及时跟踪芯片制造商、操作系统制造商和安全制造商等发布的补丁,并制定修复计划,及时更新安装。
合作积极应对,相信芯片脆弱性问题最终也会受到打击。(作者:李云杰,微信号公号:AI商业)
精彩评论