近日,Google安全團(tuán)隊(duì) Project Zero 公布了多個(gè)高危漏洞,稱這些漏洞幾乎影響到了市面上所有的微處理器,由于漏洞與硬件相關(guān),因此不同的操作系統(tǒng)都要從內(nèi)核層面對(duì)該漏洞進(jìn)行修復(fù),最高可能會(huì)使處理器的性能降低30%。

Intel芯片漏洞事件詳解

驚天漏洞是怎么一回事?

為了確保計(jì)算機(jī)的安全,在操作系統(tǒng)中,不同的程序有著不同的安全權(quán)限。其中,內(nèi)核是最基本的程序,為系統(tǒng)提供一些必要的基礎(chǔ)功能。因此,在Linux、Windows等操作系統(tǒng)中,內(nèi)核會(huì)常駐系統(tǒng)內(nèi)存,并擁有最高級(jí)別的權(quán)限。

最近曝光的多個(gè)漏洞,就跟內(nèi)核息息相關(guān)。這些漏洞最早可以追溯到1995年。Project Zero的研究員Jann Horn稱:

惡意程序可以通過(guò)這些漏洞來(lái)訪問(wèn)本應(yīng)無(wú)法訪問(wèn)系統(tǒng)內(nèi)存,從而竊取存儲(chǔ)在系統(tǒng)中的敏感信息。測(cè)試表明,通過(guò)該漏洞可以讓虛擬主機(jī)訪問(wèn)物理主機(jī)的內(nèi)存,甚至還能訪問(wèn)其他虛擬主機(jī)的內(nèi)存。

這些高危漏洞被歸為兩類,分別命名為「Meltdown」(熔毀)和「Spectre」(幽靈)。Meltdown能夠打破應(yīng)用程序與操作系統(tǒng)之間的基本隔閡,讓惡意程序能夠訪問(wèn)系統(tǒng)內(nèi)存;而Spectre則可以通過(guò)欺騙其他應(yīng)用程序來(lái)訪問(wèn)系統(tǒng)內(nèi)存的任意位置。Spectre相比Meltdown更復(fù)雜、更難運(yùn)用,但也更不好被解決。

Intel芯片漏洞事件詳解

這些漏洞會(huì)產(chǎn)生什么影響?

目前,Meltdown只在英特爾處理器中得到驗(yàn)證,而Spectre由于涉及微處理器的一項(xiàng)常用技術(shù),因此波及范圍更廣。Project Zero的測(cè)試結(jié)果表明,無(wú)論是AMD、ARM還是英特爾的處理器都難以幸免,圍繞這些處理器打造的操作系統(tǒng)和硬件設(shè)備也會(huì)受到影響。

換言之,近二十年來(lái),常見(jiàn)的電腦、云服務(wù)器、智能手機(jī)都有可能被利用,無(wú)論是Windows還是macOS又或者是Linux系統(tǒng)。

廠商們是怎么回應(yīng)的?

漏洞曝光之后,各大處理器廠商都已先后作出回應(yīng)。

AMD表示,由于其處理器架構(gòu)與英特爾有所不同,因此受到這些漏洞的影響幾乎為零。

不過(guò),英特爾的說(shuō)法和AMD則有所出入。英特爾認(rèn)為,根據(jù)迄今的分析,許多類型的計(jì)算設(shè)備(有來(lái)自許多不同供應(yīng)商的處理器和操作系統(tǒng))都會(huì)容易受到類似攻擊。但這些攻擊沒(méi)有可能損壞、修改或刪除數(shù)據(jù),也不會(huì)對(duì)一般用戶的計(jì)算機(jī)性能造成顯著影響。尤其是Skylake之后的產(chǎn)品,受到本次漏洞的影響微乎其微。

同時(shí),英特爾還表示,已經(jīng)與AMD、ARM、蘋(píng)果、微軟等技術(shù)公司密切合作,以制定用于全行業(yè)的方法,迅速、有建設(shè)性地解決這一問(wèn)題。ARM則發(fā)表聲明稱,確實(shí)有部分Cortex-A處理器受到影響,Cortex-A廣泛用于手機(jī)SoC平臺(tái),高通、三星、聯(lián)發(fā)科都采用了相關(guān)的技術(shù)。ARM的公關(guān)總監(jiān)稱,ARM一直在與英特爾和AMD合作,以尋求解決辦法。

普通消費(fèi)者們?cè)撛趺崔k?

目前,并沒(méi)有黑客利用該漏洞進(jìn)行攻擊的案例出現(xiàn),而不少?gòu)S商都已這些漏洞提出了解決方案:

? Linux發(fā)布了KAISER補(bǔ)丁

? 蘋(píng)果則是在macOS 10.3.2中修復(fù)了該漏洞

? Google號(hào)稱最新版本的Android系統(tǒng)不受影響

? 微軟Windows 10也緊急發(fā)布了更新補(bǔ)丁KB4056892,將強(qiáng)制安裝

? 亞馬遜AWS也發(fā)布了解決問(wèn)題的指導(dǎo)方法

因此,只要將你的電腦或手機(jī)更新到最新系統(tǒng),就可以規(guī)避這一漏洞。雖然對(duì)計(jì)算機(jī)性能多少都會(huì)受到一些影響,但由于個(gè)人計(jì)算機(jī)的負(fù)載并不高,因此也不需要太過(guò)擔(dān)心因?yàn)榇蛄搜a(bǔ)丁,就導(dǎo)致電腦「吃不了雞」。

實(shí)際上,Meltdown和Spectre對(duì)性能的拖累才是讓人頭疼的問(wèn)題——不打補(bǔ)丁的話,數(shù)據(jù)安全得不到保障;而打了補(bǔ)丁之后,對(duì)性能的拖累又會(huì)對(duì)云計(jì)算業(yè)務(wù)造成不小的影響。

在更好的解決方案出來(lái)之前,云計(jì)算廠商們似乎也是毫無(wú)辦法。