面向這場(chǎng)史詩(shī)級(jí)的 CPU 漏洞，Intel / Google / 微軟 / 蘋果等公司做了些什么？

這幾天，Intel 的日子不大好過。

一場(chǎng)由外媒 Theregister 曝光出來的芯片級(jí)漏洞事件持續(xù)發(fā)酵，Intel 首當(dāng)其沖。目前來看，這一漏洞可能影響到幾乎所有的計(jì)算機(jī)、服務(wù)器、智能手機(jī)等設(shè)備，涉及到 Intel、AMD、ARM 等半導(dǎo)體巨擘以及微軟、蘋果、亞馬遜、Google 等世界級(jí)科技巨頭?？梢哉f，這是到目前為止影響范圍最廣泛的漏洞。

這簡(jiǎn)直是一次史詩(shī)級(jí)的漏洞。

到底是什么情況？

這次漏洞事件的罪魁禍?zhǔn)?，主要是兩個(gè) CPU 安全漏洞，分別被命名為 Meltdown（熔斷）和 Spectre（幽靈）。這兩組漏洞利用 CPU 中的 Speculative Execution（推測(cè)執(zhí)行），通過用戶層面應(yīng)用從 CPU 內(nèi)存中讀取核心數(shù)據(jù)。

其中，Meltdown 影響范圍包括 1995 年之后的所有 Intel CPU 型號(hào)（除了 2013 年之前生產(chǎn)的 Intel 安騰和 Atom 系列）；而 Specture 則能夠影響幾乎所有來自 Intel 和 AMD 的 CPU 型號(hào)，以及 ARM 旗下的一些 CPU 型號(hào)。

理論上，幾乎所有的處理器和操作系統(tǒng)都會(huì)被涉及到。

據(jù)雷鋒網(wǎng)了解，這次漏洞由 Google 的 Project Zero 團(tuán)隊(duì)在去年發(fā)現(xiàn)，后來 Google 向 Intel 發(fā)出了警告。而 Intel 方面表示原本計(jì)劃在下周推出軟件補(bǔ)丁時(shí)披露該漏洞，但因?yàn)槊襟w的廣泛報(bào)道，所以不得不提前發(fā)布聲明。

由于牽涉范圍太廣，除了 Intel，包括微軟、Google、蘋果多內(nèi)的多家公司紛紛針對(duì)這一漏洞做出了反應(yīng)，并發(fā)布了相關(guān)聲明。雷鋒網(wǎng)無意于從技術(shù)角度探討這場(chǎng)漏洞發(fā)生的原因，僅從用戶的角度出發(fā)，來看看這些公司的做法與說法。

Intel

作為本次漏洞受牽連最大的一家公司，Intel 的回應(yīng)比較多，也比較急切。

1 月 3 日，針對(duì)漏洞問題，Intel CEO Brian Krzanich 率先回應(yīng)稱：

我們不可能逐一檢查所有系統(tǒng)。但由于這個(gè)漏洞很難利用，必須進(jìn)入系統(tǒng)，還要進(jìn)入內(nèi)存和操作系統(tǒng)，所以從目前的調(diào)查來看，我們對(duì)于該漏洞尚未被利用很有信心…… 系統(tǒng)一直按照既有方式運(yùn)行，符合系統(tǒng)的構(gòu)建和設(shè)計(jì)方式……（黑客）無法借助這個(gè)漏洞對(duì)數(shù)據(jù)進(jìn)行任何修改和刪除，不能通過這一流程對(duì)數(shù)據(jù)展開任何操作。所以從這個(gè)角度來講，這并不是缺陷。

Krzanich 表示科技行業(yè)已經(jīng)展開了數(shù)個(gè)月的合作來解決這個(gè)問題，由此可見 Intel 很早就知道這個(gè)漏洞的存在了，只是一直未披露。Krzanich 還表示 Intel 正在開發(fā)軟件解決方案，今后還將對(duì)硬件進(jìn)行調(diào)整，預(yù)計(jì)最早下周初向廠商提供解決方案。

1 月 4 日，Intel 針對(duì)漏洞問題發(fā)布官方聲明，雷鋒網(wǎng)從官方聲明提取出以下重點(diǎn)：

• Intel 認(rèn)為這些漏洞不會(huì)損壞、修改或刪除數(shù)據(jù)。

• 這些“安全缺陷”不是 Intel 獨(dú)有，其他供應(yīng)商的處理器和操作系統(tǒng)都有，比如“AMD、ARM控股和多個(gè)操作系統(tǒng)供應(yīng)商”。

• 之前，大家認(rèn)為這些漏洞幾乎影響所有電腦、服務(wù)器和云操作系統(tǒng)，也可能影響手機(jī)和其他設(shè)備。但 Intel 表示，與早期的報(bào)告相反，對(duì)于大多數(shù)用戶來說，性能影響應(yīng)該不太大。

1 月 4 日，Intel 再次發(fā)布聲明稱，已經(jīng)為基于 Intel 芯片的各種計(jì)算機(jī)系統(tǒng)（個(gè)人電腦和服務(wù)器）開發(fā)了更新，并且正在快速發(fā)布這些更新；這些更新程序可以通過系統(tǒng)制造商、操作系統(tǒng)提供商和其他相關(guān)廠商獲得。

Intel 方面還表示與其他產(chǎn)業(yè)伙伴在部署軟件補(bǔ)丁和固件更新方面已經(jīng)取得重要進(jìn)展。

ARM

ARM 在 1 月 3 日回應(yīng)稱：

ARM 已經(jīng)在與 Intel 和 AMD 合作進(jìn)行分析。在一些特定的高端處理器中會(huì)出現(xiàn) Speculative execution 被利用的情況，包括我們的一部分 Cortex-A 處理器；在可能出現(xiàn)的利用過程中，惡意軟件將會(huì)在本地運(yùn)行并導(dǎo)致內(nèi)存的數(shù)據(jù)被獲取。需要聲明的是，我們開發(fā)的用于 IoT 的高性能低功耗 Cortex-M 處理器，將不受此影響。

ARM 還表示，正在鼓勵(lì)可能受到影響的半導(dǎo)體合作伙伴提供軟件防護(hù)措施。

AMD

1 月 3 日，AMD 聲明稱：

事實(shí)上，安全研究小組確定了三個(gè)預(yù)測(cè)執(zhí)行的版本。各個(gè)公司對(duì)這三種版本的威脅和反應(yīng)各不相同，AMD 不容易受到這三種版本的影響，由于 AMD 架構(gòu)不同，我們認(rèn)為，AMD 處理器目前幾乎沒有風(fēng)險(xiǎn)。

AMD 還聲稱安全研究將在當(dāng)日晚些時(shí)候發(fā)布，并在彼時(shí)提供更多的更新。

微軟

在漏洞事件曝光后，微軟針對(duì) Windows 10 發(fā)布了一個(gè)特殊修復(fù)包，并正在針對(duì) Windows 7 和 Windows 8 進(jìn)行了更新。

同時(shí)，微軟聲明稱：

我們了解到這一影響整個(gè)行業(yè)的問題，而且與芯片廠商展開了密切的合作，開發(fā)和測(cè)試緩解這一問題的方案，以保護(hù)我們的用戶。同時(shí)，我們正在向云服務(wù)部署解決方案，并向 Windows 用戶發(fā)布了安全更新，以防止 Intel、ARM 和 AMD 等公司的芯片受到漏洞的侵?jǐn)_。

微軟方面還表示，目前還沒有收到任何關(guān)于利用該漏洞攻擊用戶的消息。

Google

在發(fā)現(xiàn)漏洞并針對(duì)旗下的產(chǎn)品提供保護(hù)措施方面，Google 做得最多。

在媒體曝光了這次漏洞信息之后，Google 的 Project Zero 團(tuán)隊(duì)在 1 月 3 日發(fā)表了關(guān)于這次漏洞具體情況的博客，證明漏洞牽涉范圍包括 Intel、AMD 和 ARM。

在此之前不久，Google 安全團(tuán)隊(duì)發(fā)表博客稱，在發(fā)現(xiàn)漏洞之后，針對(duì)漏洞可能引發(fā)的安全問題，Google 安全和產(chǎn)品開發(fā)團(tuán)隊(duì)就已經(jīng)通過系統(tǒng)和產(chǎn)品更新來保護(hù) Google 系統(tǒng)和用戶數(shù)據(jù)的安全，并與行業(yè)里的軟硬件合作來保護(hù)用戶信息和 Web 安全。

Google 在博客中詳細(xì)列出了旗下產(chǎn)品的情況，其中重要的如下：

• 面向 Android，Google 已經(jīng)在 2017 年 12 月面向手機(jī)廠商發(fā)布了安全補(bǔ)丁包，它面向所有基于 ARM 的處理器（比如說高通驍龍系列，華為麒麟系列，三星 Exynos 系列等）；

• Google Apps/G Suite 不受影響；

• Google Chrome 瀏覽器穩(wěn)定版需要打開 Site Isolation 功能，而 Google 將在 1 月 23 日發(fā)布 Chrome 64，后者將包含保護(hù)功能；

• Chrome OS 包含上述 Chrome 瀏覽器的內(nèi)容；從 2017 年 12 月 15 日起，Google 正在推送 Chrome OS 63 更新，不過一些早期的 Chrome OS 設(shè)備可能不會(huì)更新。

• Google Home、Google Chromecast、Google Wifi、Google OnHub 等產(chǎn)品不受影響。

除此之外，針對(duì)使用 Google Cloud 云服務(wù)的各個(gè)部分，Google 也提供了非常詳盡的說明和可能需要的應(yīng)對(duì)措施，詳見 Google 安全博客內(nèi)容。Google 方面還表示，將繼續(xù)針對(duì)這些漏洞進(jìn)行工作，并將會(huì)在產(chǎn)品支持頁(yè)面進(jìn)行更新。

蘋果

1 月 4 日，針對(duì)這次漏洞，蘋果發(fā)表稱，這次的問題影響到所有的現(xiàn)代處理器以及幾乎所有的計(jì)算設(shè)備和操作系統(tǒng)，因此 Mac 系統(tǒng)和 iOS 設(shè)備也不例外，不過目前還沒有關(guān)于利用這些漏洞對(duì)消費(fèi)者造成影響的情況。

蘋果表示，要想利用這些漏洞，需要通過 Mac 和 iOS 設(shè)備上的應(yīng)用來進(jìn)行，因此建議用戶從包括 App Store 這樣的可信渠道下載應(yīng)用。

針對(duì) Meltdown，蘋果在 iOS 11.2 & macOS 10.13.2 & tvOS 11.2 中加入了保護(hù)措施，Apple Watch 不受影響。而針對(duì) Specture，蘋果表示將于未來幾周在 Safari 瀏覽器中發(fā)布更新來對(duì)抗。

另外，蘋果還表示，未來將會(huì)在 iOS、macOS、tvOS 和 watch OS 的系統(tǒng)更新中提供更多的防護(hù)措施。

亞馬遜

這次漏洞對(duì)亞馬遜的波及主要在 AWS 云服務(wù)方面，亞馬遜在 1 月 3 日發(fā)表聲明稱：

這是一個(gè)已經(jīng)存在了 20 余年的漏洞，包括來自 Intel AMD 和 ARM 的現(xiàn)代處理器架構(gòu)都存在這個(gè)漏洞，并覆蓋到服務(wù)器、桌面設(shè)備和移動(dòng)設(shè)備。

截止到 1 月 4 日，亞馬遜方面表示已經(jīng)保護(hù)了幾乎所有的亞馬遜 EC2 網(wǎng)絡(luò)服務(wù)，但客戶仍然需要更新來自微軟、Linux 等的操作系統(tǒng)來修補(bǔ)這些漏洞。

其實(shí)無需恐慌

以這次漏洞波及的范圍之廣，的確是世所罕見的。雖然 Intel、Google、微軟、蘋果等都在采取相應(yīng)的安全措施，還是有不少用戶在擔(dān)心自己的隱私問題。

為此，雷鋒網(wǎng)采訪了 360 安全中心的相關(guān)專家，得到的結(jié)論是：

雖然影響范圍極廣，但漏洞本身的危害卻并不十分嚴(yán)重，前也沒有任何已知的利用這些漏洞進(jìn)行攻擊的案例被發(fā)現(xiàn)。攻擊者雖可利用該漏洞竊取隱私，但無法控制電腦、提升權(quán)限或者突破虛擬化系統(tǒng)的隔離。此外，該漏洞不能被遠(yuǎn)程利用，更無法像“永恒之藍(lán)”漏洞一樣，在用戶沒有任何交互操作時(shí)就實(shí)現(xiàn)攻擊。

也就是說，只要用戶正常使用，并及時(shí)安裝官方推送的相關(guān)安全補(bǔ)丁，問題就不會(huì)太大。

不過，360 方面告訴我們，要想修復(fù)這一漏洞，難度是很大的。因?yàn)檫@一漏洞是 CPU 硬件層面的，僅僅通過 CPU 廠商的安全更新是無法解決問題的；它需要操作系統(tǒng)廠商、虛擬化廠商、軟硬件分銷商、瀏覽器廠商、CPU 廠商等一起協(xié)作并進(jìn)行深入修改才能夠徹底解決問題。

眼下來看，用戶要做的就是打上必要的安全補(bǔ)丁，并避免在設(shè)備上安裝惡意軟件。對(duì)于這一漏洞的后續(xù)處理情況，雷鋒網(wǎng)將保持關(guān)注。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。