1月4日,国家信息安全漏洞共享平台(CNVD)发布安全公告,公告称CPU存在Meltdown(熔断)漏洞以及Spectre (幽灵)漏洞,该漏洞存在于英特尔(Intel)x86-64的硬件中,在1995年以后生产的Intel处理器芯片都可能受到影响。同时AMD、Qualcomm、ARM处理器也受到影响。同时使用上述处理器芯片的操作系统(Windows、Linux、Mac OS、Android)和云计算平台也受此漏洞影响。这几乎影响到了包括笔记本电脑、台式机、智能手机、平板电脑和互联网服务器在内的所有硬件设备。
有业界专家称,此CPU漏洞事件堪称计算机史上最大安全事件,波及面之广、中枪厂商之多、影响之大,史无前例。
现代计算芯片体系之过?
从CNVD公布的信息来看,现代的计算机处理器芯片通常使用“推测执行”(speculative execution)和“分支预测”(Indirect Branch Prediction)技术实现对处理器计算资源的最大化利用。但由于这两种技术在实现上存在安全缺陷,无法通过正确判断将低权限的应用程序访存与内核高权限的访问分开,使得攻击者可以绕过内存访问的安全隔离边界,在内核中读取操作系统和其他程序的内存数据,造成敏感信息泄露。
有评论称,这应该是现代计算芯片体系发展史上的最大硬件漏洞,没有之一。“熔断”能够直接洞穿了Intel和微软Windows、linux、苹果Mac OS共同设下的重重安全防护,“幽灵”能悄无声息地穿透操作系统内核的自我保护,从用户运行的空间里读取到操作系统内核空间的数据,在Intel/AMD/ARM这三大主流公司的CPU上都能起作用。因为漏洞难以通过软件补丁修复也无法通过反病毒软件对抗,加上这十几年CPU出货量之大,涉及设备之多,所以忧患阴霾几乎笼罩在所有的IT设备和整个IT业界上。
业界发生什么事?
有人说此次事件影响之大、波及面之广堪比几年前的IT业界遭遇的“千年虫”,但是当年的“千年虫”是业界一起“捉虫”。而这次的事件有明确的厂商指向,英特尔成为率先中枪者。
这几天,英特尔公司在事件的风口浪尖上,原因是2017年6月,谷歌Project Zero安全团队发现了这一漏洞告知了英特尔以及其他几家芯片生产商,但他们都没有向业界公布,直到2018年1月2日,科技媒体The Register发表文章Kernel-memory-leaking Intel processor design flaw forces Linux, Windows redesign,提前报道了这个问题。1月3日,英特尔公布最新安全研究结果及英特尔产品说明,公布受影响的处理器产品清单。于是所有矛头指向英特尔,因为知情不报,直到被踢爆。
英特尔喊冤,因为其称在接到谷歌的报告后就已经开始联合上下游来解决此问题,因为问题难度之大,超乎想象。而且媒体在2017年下半年已经有报道“几个月来英特尔以及其他科技公司和专家一直在努力解决这个问题”。“这些芯片生产商及其客户、合作伙伴,包括苹果、Alphabet Inc.旗下谷歌、亚马逊公司和微软等,都已在加紧解决这一问题,一个由大型科技公司组成的联盟正展开合作,保护其服务器,并向客户的电脑和智能手机发送补丁。”
而消息人士透露,因联盟成员之间达成了保密协议,延迟公开,赢得时间研发解决方案,确保公布漏洞后能够万无一失。原计划为1月9日公布,The Register的踢爆,让英特尔只好提前进行了系列公告。
2018年1月4日,英特尔公告称:“英特尔已经针对过去 5 年中推出的大多数处理器产品发布了更新。到下周末,英特尔发布的更新预计将覆盖过去 5 年内推出的 90%% 以上的处理器产品。”
其后,各路芯片厂商纷纷发声。1月4日,IBM公布这一漏洞对POWER系列处理器的潜在影响。1月5日ARM承认芯片存安全漏洞,安卓iOS设备都有影响。1月5日,AMD发布官方声明,承认部分处理器存在安全漏洞。1月5日,高通就芯片漏洞发声,正在修复 但未指明受影响芯片。
与此同时苹果、微软、阿里云、腾讯云、百度云、华为云等厂商都发布了修补漏洞的办法。
这几天业界出了各种段子:第一天是芯片“老大中枪”,排名第二的芯片厂商说,”这是老大的事,没我什么事”。一天后,“芯片老二”也发申明提供补丁。老三说是老二的事,没我什么事,第三天,芯片老三也发了补丁下载链接。
有评论认为,对于CPU漏洞,业界各厂商没有事先公布,这也说明了技术创新与迭代的规则正在被某种力量打破,这也暴露出一个更大的行业问题,是不是硅谷的创新精神正在走向没落?
未来的影响?
这一事件还在发酵。业界和消费者如何应对?
其一,从目前来看应该说这是一个现代计算芯片体系问题,需要全产业链携手解决。从目前来看。眼下,还没有黑客们从这两个漏洞中“得手”,利用漏洞作案仍有很高的门槛,但是毕竟漏洞已经暴露出来,各厂商应该联合起来,找到更好的修补方案。目前看有一些修补方案存在影响性能以及兼容性等问题,1月8日举行的CES上表示,这些安全更新,预计针对某些工作负载下的性能会受到一些影响,英特尔会继续与业界一起协作,逐步把这些工作负载的影响减少到最低。
其二,厂商们应该吸取教训,用户和业界需要知情权,业界需要更开放。英特尔在这个事件上的被动局面,看似偶然,其实也暴露了一个行业问题,在协同上下游及时解决问题的同时,究竟是选择合适的时间公布,还是一开始就让全业界都知道,需要业界重新思考。在问题频发,道高一尺魔高一丈的今天,我们究竟是核心成员携手解决问题还是更开放的思路实现信息共享,更大范围群策群力,考验业界的智慧。
其三,作为消费者,无论是PC还是手机以及云的用户都及时到设备所归属的CPU以及操作系统厂商官网及时下载补丁更新,防患于未然。
(《中国电子报》版权所有,转载请注明出处)
1、本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2、本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3、作者投稿可能会经我们编辑修改或补充;4、如本站的文章或图片存在版权,请拨打电话010-88558835进行联系,我们将第一时间处理。
3月5日,第十三届全国人民代表大会第四次会议在北京人民大会堂开幕。党和国家领导人习近平、李克强、汪洋、王沪宁、赵乐际、韩正、王岐山等出席,栗战书主持大会。初春的北京,处处生机盎然。第十三届全国人民代表大会第四次会议5日上午在人民大会堂开幕。近3000名全国人大代表肩负人民重托出席大会,认真履行宪法和法律赋予的神圣职责。
12月28-29日,全国工业和信息化工作会议在京召开。会议以习近平新时代中国特色社会主义思想为指导,全面贯彻党的十九大和十九届二中、三中、四中、五中全会精神,认真落实习近平总书记重要指示批示精神和中央经济工作会议部署,总结2020年工业和信息化工作,分析形势,部署2021年重点工作。工业和信息化部党组书记、部长肖亚庆作工作报告。
3月22日,中国电子信息产业发展研究院发布了《2020年中国家电市场报告》(以下简称《报告》)。《报告》显示,2020年,我国家电市场零售额规模达到8333亿元,在疫情冲击之下显示出较强的韧性;电商渠道对家电零售的贡献率首次超过50%,网络零售对家电消费的促进作用进一步提升;高端产品、生活家电大幅增长,有效促进了消费升级和产业转型。
11月20日,由工业和信息化部、安徽省人民政府共同主办的2020世界显示产业大会在合肥市举行。在开幕式上,工业和信息化部部长肖亚庆、韩国驻华大使张夏成发表视频致辞。安徽省委副书记、省长李国英,工业和信息化部副部长王志军出席开幕式并致辞。
11月2日,由工业和信息化部、国家广播电视总局、中央广播电视总台、广东省人民政府共同主办的2020世界超高清视频(4K/8K)产业发展大会在广州市召开。广东省委书记李希出席开幕式,省长马兴瑞出席并致辞。国家广播电视总局局长聂辰席、工业和信息化部副部长王志军、中央广播电视总台副台长蒋希伟出席开幕式并致辞。
10月19日—20日,由工业和信息化部、江西省人民政府主办的2020世界VR产业大会云峰会在南昌举行。在10月19日的开幕式上,中共中央政治局委员、国务院副总理刘鹤发来书面致辞。江西省委常委、南昌市委书记吴晓军,工业和信息化部副部长王志军,江西省委书记、省人大常委会主任刘奇先后致辞。开幕式由江西省委副书记、省长易炼红主持。
