图片 1

Linux之父批英特尔表示避重就轻并没承认问题,英特尔证实芯片存重大安全漏洞

英特尔首席执行官科再齐

据华尔街日报报道,计算机芯片被曝存在安全漏洞,乍看之下似乎给英特尔带来了一场突如其来的危机,但在这背后它和其它的科技公司以及专家其实对付该问题已经有数个月。
图片 1

  周三,世界上最大的半导体公司英特尔被曝出存在根本性的设计缺陷。这一漏洞波及过去十年间所有使用英特尔芯片的电脑。消息一出,英特尔股价暴跌,盘中一度跌幅高达近7%。北京时间1月4日凌晨4时左右,英特尔公司通过其官方推特发布了一份关于安全漏洞的声明,其中提到其正与AMD及软件厂商合作,“开发一种适应于全行业的方法”来解决此问题。同时也表示其他公司的芯片也存在相同问题。

据外电报道,继英特尔周三承认该公司芯片设计中存在的两个漏洞,将影响到包括笔记本电脑、台式机、智能手机、平板电脑和互联网服务器在内的所有硬件设备之后,该公司在周四又表示,已为过去
5 年制造的绝大多数处理器发布了补丁,且更多的更新将会陆续发布。

今天,苹果成为了最新一家承认受到芯片漏洞影响的科技巨头。该公司表示,所有的
iPhone、iPad 和 Mac 电脑都受到影响,公司已经发布更新来修复漏洞。

  此前,科技媒体The
Register报道称,部分英特尔处理器有一个严重的安全漏洞,不良之徒会利用该漏洞访问个人电脑的内存数据,包括用户账号密码、应用程序文件,文件缓存等,使用英特尔芯片的电脑都会受到影响。

“英特尔已为过去 5
年制造的绝大多数处理器发布了补丁,”英特尔在声明中称。“到下周末,英特尔预计将为超过90%的过去
5 年制造的处理器发布补丁。”

英特尔、它的主要竞争对手 AMD 以及芯片设计厂商 ARM
本周均称,它们的部分处理器存在可能会被黑客利用的安全漏洞,这一问题影响电脑、智能手机和其它设备所使用的各种芯片,但到目前为止与任何的黑客攻击事件都无关联。

  英特尔在声明中说:“最近的报道称该安全问题是由一种‘漏洞’引起的,而且只有英特尔芯片存在问题的说法不正确。使用不同厂商处理器和操作系统的多种计算设备,都容易受到这类漏洞的攻击。”英特尔CEO科再奇表示,谷歌是最先向英特尔发出漏洞警告的公司。英特尔在声明中称,原本计划在下周推出软件补丁时披露该漏洞,但因媒体的广泛报道,因此不得不提前发布声明。在英特尔发布声明后,AMD和ARM都表示将积极与合作伙伴配合防止安全漏洞出现,不过均没明确承认自己的新品存在缺陷。

在英特尔承认处理器架构设计的漏洞之后,网络安全研究人员详细披露了这两个安全漏洞。他们表示,它们存在于英特尔、AMD和ARM架构的芯片当中,能够让黑客盗取几乎所有的现代计算设备中的敏感信息。

在芯片漏洞本周被曝光以前,芯片厂商们以及它们的客户和合作伙伴,包括苹果、Alphabet
旗下的谷歌、亚马逊和微软,就已经在加紧解决问题。一个由大型科技公司组成的联盟在联手保护它们的服务器,并向用户的计算机和智能手机提供补丁。

  据多家外媒报道,英特尔CPU存在的漏洞,最重要的问题并非漏洞少见,而是未来微软等公司需要对操作系统进行升级修补漏洞,而且修补之后将会导致个人电脑性能下降。英特尔否认补丁程序会让使用英特尔芯片的电脑速度变慢。“英特尔已开始提供软件与韧体(固件)更新,以减轻这些漏洞的问题,”英特尔声明中表示,“对电脑效能的影响取决于处理量。对一般电脑用户来说,影响应该不大,并且会随着时间推移逐步得到缓解。”

其中一个漏洞只存在于英特尔芯片中,但另一个漏洞影响到了包括笔记本电脑、台式机、智能手机、平板电脑和互联网服务器在内的所有硬件设备。英特尔和ARM坚持认为,该问题不属于设计缺陷,但仍要求用户下载补丁,对操作系统进行更新来修复它。“手机、PC、所有的一切都将受到影响,但影响会因为产品的不同而有区别,”英特尔首席执行官科再齐周三在接受采访时表示。

所涉的漏洞可能会让黑客能够窃取诸如密码的敏感信息,影响范围包括来自各家公司的多数现代芯片。但主导服务器和
PC 芯片市场的英特尔受到了最为直接的影响,它的股价连续两天出现下跌。

  目前,微软、亚马逊等受影响的厂商已经采取相关措施。此外,由于苹果在2017年12月的macOS
10.13.2加入更新,从一定程度上解决了这个问题,因此苹果系统尚未受到影响。

科再齐还称,他对黑客尚未利用这一漏洞“相对自信”,且整个产业携手处理这一问题已有几个月时间。“我们没有发现有黑客利用这一漏洞的事例,现在测试的修补程序是为了防止未来的黑客攻击,”他说。他还表示,谷歌的研究人员“不久之前”告知公司的芯片存在安全漏洞,英特尔将从下周起着手修复这一漏洞。有报道称,谷歌在去年
6 月就已向英特尔通报了漏洞一事。

去年 6 月 1 日,谷歌 Project Zero
安全团队的一位成员告知英特尔和其它的芯片厂商漏洞的问题。即便早早就知道,英特尔等公司也仍在努力解决安全漏洞。一个问题在于,将安全更新推送到数十亿部设备。另一个问题在于,部分安全补丁可能会减慢设备的运行,因为那些漏洞影响到意在提高处理器运行速度的芯片功能。

(责任编辑:段思琦)

谷歌互联网安全项目Project
Zero的研究人员和来自数个国家的学术界和科技产业研究人员,共同发现了上述两个安全漏洞。第一款漏洞称为“熔断”。它影响的是英特尔芯片,让黑客绕过由用户运行的应用程序和计算机内存之间的硬件屏障,能够让黑客读取计算机内存数据,并窃取密码。第二个漏洞称为“幽灵”,影响到英特尔、AMD和ARM架构的芯片,让黑客能够诱骗其他无错误的应用程序放弃机密信息。研究人员表示,微软和苹果两家公司已为用户发布了受“熔断”影响的台式机补丁。

截至周四,各家企业都表示没有发现利用芯片漏洞的黑客攻击证据。要是黑客真那么做,那他们很可能会去攻击英特尔制造的芯片。那是因为该公司是全球第一大微处理器厂商,其芯片内在的漏洞至少可以追溯到
10 年前。

当然,受上述两个漏洞影响的芯片能够追溯到 5
年之前的产品。英特尔官方网站上提供的信息显示,能够受到上述漏洞影响的英特尔产品最早能够追溯到
2008
年。英特尔表示,并不只是该公司一家公司提供了补丁,“系统制造商、操作系统提供商和其他一些公司目前均向用户提供系统补丁。”

该问题引发了人们对英特尔产品安全性的怀疑,众多客户需要采取行动保护自身的系统。它也凸显了一点:芯片和运行于芯片的软件日益复杂化,让它们变得难以锁定,同时也使得它们会隐藏数年未被发现的漏洞。

除去漏洞问题外,科再奇在去年年底抛售所持的公司股票被指涉嫌内幕交易。去年
11 月 29 日,科再奇通过抛售持股和执行股票期权套现 2400
万美元。当时科再齐抛售持股的行为曾吸引外界关注,原因是在去年年底抛售持股之后,他只持有
25
万股英特尔股票–这也是他与英特尔签订的雇佣协议所要求的最低持股数量。考虑到科再奇抛售持股的时间节点,预计他的套现操作将面临更多的详查。

“人们在重新评估现代硬件安全属性的核心原则。我们的很多假定都被违反了,需要重新进行评估。”安全研究者科恩·怀特(Kenn
White)指出。

科再奇在 10 月 30
日就已制定了持股抛售计划。对于科再奇是否个人在知道安全漏洞一事后制定该持股抛售计划,或者是安全漏洞在科再奇的持股抛售计划中扮演了重要角色这一问题,英特尔发言人未予置评。需要主要到的时间节点是:科再奇的持股抛售计划制定于
10 月 30 日,而英特尔已官方承认在 6 月就已掌握了安全漏洞问题。

不过,在科技战略研究公司 Tirias Research 的吉姆·麦克格雷格(Jim
McGregor)看来,英特尔受到的影响可能会很有限。“当你掌控很大一部分市场,你广泛地覆盖客户的时候,你能够逃脱惩罚。”他说道。

发表评论

电子邮件地址不会被公开。 必填项已用*标注