《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 模擬設(shè)計(jì) > 業(yè)界動態(tài) > 英特爾芯片漏洞門泄露 股價(jià)暴跌市值蒸發(fā)200億美元

英特爾芯片漏洞門泄露 股價(jià)暴跌市值蒸發(fā)200億美元

2018-01-16
關(guān)鍵詞: 英特爾 蘋果 CPU 芯片

自美國科技博客The Register于2018年1月2日率先披露由CPU Speculative Execution引發(fā)的芯片級安全漏洞Spectre(中文名“幽靈”,,有CVE-2017-5753和CVE-2017-5715兩個(gè)變體),、Meltdown(中文名“熔斷”,有CVE-2017-5754一個(gè)變體)以來,,英特爾,、ARM、AMD,、蘋果,、IBM、高通,、英偉達(dá)等都已承認(rèn)自家處理器存在被攻擊的風(fēng)險(xiǎn),。

盡管由CPU底層設(shè)計(jì)架構(gòu)引發(fā)的此次安全“漏洞門”事件,波及到幾乎所有的芯片廠商,,但全球芯片業(yè)“老大”——英特爾成為最顯著的輸家,。《中國經(jīng)營報(bào)》記者注意到,,英特爾的股價(jià)已經(jīng)由1月2日的46.85美元/股下跌至1月11日的42.50美元/股,,市值縮水204億美元。又觀英特爾的競爭對手AMD,,該公司股價(jià)已經(jīng)從1月2日的10.98美元/股漲至1月11日的11.93美元/股,,漲幅接近10%。

英特爾等芯片廠商,、微軟等操作系統(tǒng)廠商,、蘋果等終端廠商應(yīng)對此次CPU安全“漏洞門”的措施均指向“打補(bǔ)丁”。英特爾中國相關(guān)發(fā)言人1月10日在電話和郵件中告訴《中國經(jīng)營報(bào)》記者,,“(2017年)12月初我們開始向OEM合作伙伴發(fā)布固件更新,。我們預(yù)計(jì)(過去)一周內(nèi)發(fā)布的更新將覆蓋過去5年內(nèi)推出的90%以上的英特爾處理器,其余的將在(2018年)1月底前發(fā)布,。此后我們將繼續(xù)發(fā)布其他產(chǎn)品的更新,。”該發(fā)言人強(qiáng)調(diào)英特爾“不會進(jìn)行芯片召回”,。

“漏洞門”被提前泄露

此輪CPU“漏洞門”被譽(yù)為“千年蟲”之后計(jì)算設(shè)備發(fā)展史上最大的安全漏洞,。

什么是“千年蟲”?也就是計(jì)算機(jī)2000年問題,。因?yàn)橐郧坝?jì)算機(jī)內(nèi)存比較小,,年份都是用兩位數(shù)表示,比如1980年就是80,,到1999年,,80年出生就是99-80=19歲,,但是在2000年,變成00-80=-80歲了,,這就是所謂的“計(jì)算機(jī)2000年問題”,。

此次CPU“漏洞門”又是怎么回事?華為一位技術(shù)專家告訴《中國經(jīng)營報(bào)》記者,,人們向計(jì)算機(jī)發(fā)出的指令分為正??杀粓?zhí)行、異常不被執(zhí)行兩種,,按照最初的架構(gòu)設(shè)計(jì),,異常不被執(zhí)行的指令會留在緩存里面,同時(shí)被認(rèn)為不會留下任何痕跡,,所以即使這些指令可以看到內(nèi)存機(jī)密信息也沒關(guān)系,,但現(xiàn)在已證實(shí)這些指令還是在曾經(jīng)訪問過的內(nèi)存里面留下蛛絲馬跡,并且可以被攻擊者利用,,從而導(dǎo)致用戶敏感信息泄露,。

谷歌旗下的Project Zero(零項(xiàng)目)團(tuán)隊(duì)率先發(fā)現(xiàn)了由CPU Speculative Execution引發(fā)的這些芯片級漏洞,并將之命名為Spectre(幽靈)和Meltdown(熔斷),,并通過測試證實(shí)了Spectre(幽靈)影響包括英特爾,、AMD、ARM等在內(nèi)的眾多廠商的芯片產(chǎn)品,,Meltdown(熔斷)則主要影響英特爾芯片,。

“這些漏洞是谷歌公司的Project Zero團(tuán)隊(duì)最初在2017年6月向英特爾、AMD,、ARM公司通報(bào)的,。因?yàn)檫@些安全風(fēng)險(xiǎn)涉及各種不同的芯片架構(gòu),所以在獲得Project Zero團(tuán)隊(duì)通報(bào)并對問題予以驗(yàn)證之后,,英特爾,、AMD、ARM等廠商迅速走到一起,,并由谷歌牽頭簽訂了保密協(xié)議,,同時(shí)在保密協(xié)議的約束下展開合作,從而保證在約定的問題披露期限(2018年1月9日)到達(dá)之前找到解決問題的方案,?!庇⑻貭栔袊嚓P(guān)人士告訴《中國經(jīng)營報(bào)》記者。

不僅是谷歌的Project Zero團(tuán)隊(duì),,在2017年下半年又有數(shù)位研究者獨(dú)立發(fā)現(xiàn)了這些安全漏洞,?!斑@些研究者得知這些安全問題已經(jīng)由Project Zero團(tuán)隊(duì)向芯片廠商做出通報(bào),,產(chǎn)業(yè)界正在合作,加緊開發(fā)解決方案之后,也同意在產(chǎn)業(yè)界協(xié)商同意的披露時(shí)間點(diǎn)(2018年1月9日)之前對他們的發(fā)現(xiàn)予以保密,?!庇⑻貭栔袊嚓P(guān)人士表示。

但隨著披露時(shí)間點(diǎn)(2018年1月9日)的臨近,,此次CPU安全“漏洞門”還是在2018年1月2日被提前披露,。谷歌隨后2018年1月3日也披露了相關(guān)情況——Project Zero團(tuán)隊(duì)在2017年6月1日向英特爾、AMD,、ARM通報(bào)了Spectre,,2017年7月28日又向英特爾通報(bào)了Meltdown。

抱團(tuán)應(yīng)對

盡管與“千年蟲”類似,,此次CPU安全“漏洞門”的根本原因是底層架構(gòu)設(shè)計(jì)造成的,,但問題被披露以后,輿論的矛頭主要指向了英特爾,。

一位業(yè)內(nèi)人士在接受《中國經(jīng)營報(bào)》記者采訪時(shí)認(rèn)為,,一方面是因?yàn)镾pectre和Meltdown兩個(gè)漏洞都涉及到了英特爾,另一方面是因?yàn)橛⑻貭柺侨蛐酒袠I(yè)的“老大”,,其產(chǎn)品覆蓋面,、受影響的用戶群體無疑是最大的。

對于CPU安全“漏洞門”被媒體定義為英特爾芯片安全“漏洞門”,,英特爾方面頗感委屈,。《中國經(jīng)營報(bào)》記者2018年1月3日收到的《英特爾關(guān)于安全研究結(jié)果的回應(yīng)》稱,,這些安全漏洞“不是英特爾產(chǎn)品所獨(dú)有”,。1月4日,英特爾發(fā)布更新聲明,,表示“英特爾已經(jīng)針對過去5年中推出的大多數(shù)處理器產(chǎn)品發(fā)布了更新,。到下周末(1月14日),英特爾發(fā)布的更新預(yù)計(jì)將覆蓋過去5年中推出的90%以上的處理器產(chǎn)品,?!?/p>

根據(jù)美國《俄勒岡人報(bào)》報(bào)道,英特爾CEO柯再奇在1月8日還向員工發(fā)送了一份備忘錄,,表明該公司將建立新的“英特爾產(chǎn)品保證和安全”部門,,加強(qiáng)安全工作??略倨嬖?月9日的CES 2018開幕演講中再次強(qiáng)調(diào),,“在本周內(nèi),修復(fù)更新將覆蓋到90%的近5年產(chǎn)品,,剩余的10%也會在1月底前修復(fù),?!?/p>

在英特爾之后,AMD,、ARM,、高通、英偉達(dá),、蘋果,、IBM等廠商也陸續(xù)承認(rèn)了此次“漏洞門”對自家的產(chǎn)品有影響,并表示可以通過系統(tǒng)補(bǔ)丁更新進(jìn)行解決,。

比如,,ARM在公開聲明中表示“許多Cortex系列處理器存在漏洞”;AMD官方聲明承認(rèn)部分處理器存在安全漏洞,;IBM表示“谷歌公布的芯片潛在攻擊隱患對所有微處理器都有影響,,包括IBM Power系列處理器”;高通表示,,“針對近期曝光的芯片級安全漏洞影響的產(chǎn)品,,公司正在開發(fā)更新”;英偉達(dá)聲稱,,該公司部分芯片被Spectre影響,,可以引發(fā)內(nèi)存泄露。上述公司在承認(rèn)受到“漏洞門”影響的同時(shí),,也都表示正在或者已經(jīng)開發(fā)安全補(bǔ)丁,,以提升受影響芯片的安全水平。

不僅是芯片廠商,,微軟,、谷歌、蘋果等操作系統(tǒng)及終端廠商,,也陸續(xù)加入為用戶“打補(bǔ)丁”的行列,。比如,蘋果在官方網(wǎng)站承認(rèn)“所有的Mac系統(tǒng)和iOS設(shè)備都受影響,,但到目前為止還沒有利用該漏洞攻擊消費(fèi)者的實(shí)例”,;蘋果還聲稱,“將更新Safari以防范攻擊,,同時(shí)也在對兩種漏洞進(jìn)行進(jìn)一步的研究,,將在iOS、macOS以及tvOS更新中發(fā)布新的解決方案,?!?/p>

現(xiàn)集體訴訟

盡管芯片廠商、操作系統(tǒng)廠商,、終端產(chǎn)品廠商都在嘗試用“打補(bǔ)丁”的方式解決此次CPU安全“漏洞門”危機(jī),,但消費(fèi)者對產(chǎn)業(yè)界的應(yīng)對方式并不滿意,。

根據(jù)美國科技新聞網(wǎng)站Engadget報(bào)道,因?yàn)镃PU安全“漏洞門”事件,,英特爾在美國已遭遇三宗訴訟,且全是集體訴訟,。Engadget認(rèn)為,,這意味著受到損害的更多消費(fèi)者可以加入原告隊(duì)伍進(jìn)行索賠。目前還未爆發(fā)針對AMD等其他廠商的訴訟事件,。

簡單來說,,消費(fèi)者起訴英特爾的原因主要有兩個(gè)層面,一是時(shí)隔半年之后才披露安全隱患,,二是“打補(bǔ)丁”會影響自己電腦的性能表現(xiàn),。

對于延期披露的問題,英特爾中國相關(guān)人士表示,,這是在為積極應(yīng)對爭取時(shí)間,,從得知漏洞存在到如今的6個(gè)月,英特爾一直在聯(lián)合其他廠商加快尋找問題解決之道,,“一個(gè)由大型科技公司組成的聯(lián)盟已經(jīng)展開合作,,研究并準(zhǔn)備應(yīng)對方案”。

對于影響設(shè)備性能的問題,,外媒援引一名開發(fā)人員的說法稱,,對CPU內(nèi)核進(jìn)行的修補(bǔ)將影響所有的操作系統(tǒng)工作,大部分軟件運(yùn)行將出現(xiàn)“一位數(shù)下滑”(即10%以下),,典型性能下降幅度為5%,,而在聯(lián)網(wǎng)功能方面,最糟糕的性能下降幅度為30%,。也就是說,,通過“打補(bǔ)丁”解決安全“漏洞門”,將導(dǎo)致計(jì)算設(shè)備性能下降5%~30%,。

但英特爾方面在郵件中堅(jiān)持認(rèn)為,,“Meltdown和Spectre兩個(gè)CPU漏洞不會對電腦性能產(chǎn)生太大影響”,該公司“SYSmark測試顯示,,‘打補(bǔ)丁’之后的CPU性能降幅大約為2%~14%”,。

事實(shí)上,《中國經(jīng)營報(bào)》記者注意到,,英特爾和AMD等廠商在過去發(fā)生過多起CPU Bug事件,,比如1994年發(fā)現(xiàn)的奔騰FDIV Bug、1997年發(fā)現(xiàn)的奔騰FOOF Bug事件,、2008年發(fā)現(xiàn)的英特爾ME漏洞等,,以及AMD的Phenom(弈龍) TLB Bug,、Ryzen(銳龍) Segfault Bug等。其中英特爾奔騰FDIV Bug是一個(gè)不折不扣的缺陷,,最初英特爾并不重視,,只決定為部分被證明受影響的用戶更換CPU,后來迫于輿論和市場壓力,,英特爾召回了所有受影響的CPU,,當(dāng)時(shí)損失高達(dá)4.75億美元。后來被發(fā)現(xiàn)的多起CPU Bug事件,,英特爾和AMD都是通過“打補(bǔ)丁”的方式來解決問題的,。

針對此次安全“漏洞門”,英特爾會不會召回自家芯片,?英特爾中國相關(guān)發(fā)言人援引柯再奇的公開說法稱,,Meltdown和Spectre要比1994年的奔騰FDIV容易解決,而且英特爾已經(jīng)開始在解決這些漏洞,,因此英特爾“不會召回受Meltdown和Spectre漏洞影響的芯片產(chǎn)品”,。

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。