高危級別芯片漏洞 堪比“千年蟲”

李云杰

今年新年剛過，爆出了幾乎席卷整個IT產業的芯片漏洞事件，讓人們剛剛放松的神經緊張起來。

根據國內外媒體的披露，事件的來龍去脈是這樣的：2017年，Google旗下的ProjectZero團隊發現了一些由CPU Speculative Execution引發的芯片級漏洞，“Spectre”（變體1和變體2：CVE-2017-5753和CVE-2017-5715）和“Meltdown”（變體3：CVE-2017-5754），這三個漏洞都是先天性質的架構設計缺陷導致的，可以讓非特權用戶訪問到系統內存從而讀取敏感信息。

Project Zero安全團隊的一名成員在2017年6月1日向英特爾和其他芯片生產商告知了這些漏洞的情況。而直到2018年1月2日，科技媒體The Register在發表的一篇文章中曝光了上述CPU漏洞，才讓芯片安全漏洞問題浮出水面，也讓英特爾陷入一場突如其來的危機。

芯片安全漏洞爆出后，引起了媒體和業界的廣泛關注：不但將在CPU上市場份額占絕對優勢的英特爾拋到輿論漩渦中，也引起大家對安全問題的擔憂。

人們不禁要問，芯片漏洞問題早已發現，為什么到現在才被公布？是英特爾有意隱瞞嗎？

延期公布，

為應對方案贏得了時間

從媒體披露的情況來看，1995年以來大部分量產的處理器均有可能受上述漏洞的影響，且涉及大部分通用操作系統。雖然是以英特爾為主，但ARM、高通、AMD等大部分主流處理器芯片也受到漏洞影響，IBM POWER細節的處理器也有影響。采用這些芯片的Windows、Linux、macOS、Android等主流操作系統和電腦、平板電腦、手機、云服務器等終端設備都受上述漏洞的影響。應該說，這是跨廠商、跨國界、跨架構、跨操作系統的重大漏洞事件，幾乎席卷了整個IT產業。

《華爾街日報》報道稱，Project Zero安全團隊在2017年6月1日向英特爾和其他芯片生產商告知漏洞情況后，在7個月時間里，英特爾一直在努力聯合其他主流芯片廠商、客戶、合作伙伴，包括蘋果、谷歌、亞馬遜公司和微軟等在加緊解決這一問題，一個由大型科技公司組成的聯盟正展開合作，研究并準備應對方案。

據消息人士透露，該聯盟成員之間達成了保密協議，延遲公開，研究開發解決方案，確保公布漏洞后“準備就緒”。該消息人士還稱，原計劃1月9日公開，而由于科技媒體The Register在1月2日就曝光了芯片漏洞問題，導致英特爾等公司提前發布了相關公告。

在芯片漏洞曝光后的第二天，1月3日英特爾公布了最新安全研究結果及英特爾產品說明，公布受影響的處理器產品清單。

1月4日，英特爾宣布，與其產業伙伴在部署軟件補丁和固件更新方面已取得重要進展：英特爾已針對過去 5 年中推出的大多數處理器產品發布了更新，到這個周末，發布的更新預計將覆蓋過去 5 年內推出的 90% 以上的處理器產品。

隨后，微軟、谷歌以及其他一些大型科技公司相繼發布關于漏洞的應對方案，表示他們正在或已對其產品和服務提供更新。

微軟發布了一個安全更新程序，以保護使用英特爾和其他公司芯片的用戶設備。

蘋果確認所有的Mac系統和iOS設備都受到該漏洞影響，但已發布防御補丁。

谷歌表示，漏洞問題影響到英特爾、AMD和ARM的芯片，并稱其已更新了大部分系統和產品，增加了防范攻擊的保護措施。

高通表示，針對受到近期曝光的芯片級安全漏洞影響的產品，正在開發安全更新。

有網絡安全專家認為，雖然漏洞影響范圍廣泛，對于普通用戶來說，大可不必過于恐慌，但受影響最大的主要是云服務廠商。而主要的云服務廠商已公布了應對方案和時間表。

亞馬遜 AWS的技術部門的服務人員回復稱新的服務器默認已經有補丁，不會有影響

阿里云 在1月12日凌晨1點采用熱升級的方式進行虛擬化底層的更新。

騰訊云 在1月10日凌晨01：00～05：00通過熱升級技術對硬件平臺和虛擬化平臺進行后端修復，對于極少量不支持熱升級方式的服務器，騰訊云安全團隊將會另行進行通知。

百度云 在虛擬機和物理機兩個層面進行修復工作，并于2018年1月12日零點進行熱修復升級。

華為云 正在對漏洞進行分析，跟進主流操作系統發布補丁的情況，截至目前，尚未監測到有針對此漏洞的攻擊程序。

AI商業認為，幸好不是漏洞一發現就公布，否則，在沒有應對方案出來的時候就公布，會引起更大的安全擔憂或恐慌。 而延遲到現在公布漏洞，英特爾、微軟等主要廠商已做好充足的準備，相繼發布了補丁和更新方案。

芯片漏洞堪比“千年蟲”，

需要大家“在一起”

在整個IT發展史上，隨著技術發展所暴露出來的計算機軟件或設計漏洞可以說是一種難以避免的現象。因為，技術在發展，黑客技術也在不斷發展，多年前沒發現存在漏洞，多年后就可能發現存在漏洞。“你信或不信，漏洞可能就在那里，只是還沒人能夠發現”。

而一旦漏洞被發現，只有積極應對解決，才能避免損失，防患于未然。芯片是整個信息系統的“心臟”和核心。解決這種芯片級的、前所未有的，涉及面極廣的、高危級別的重大安全漏洞，難度系數可想而知！

這已不是芯片領頭廠商英特爾一家可以解決的，也不只是英特爾、ARM、AMD等芯片廠商應該積極應對的問題。而且，根據英特爾、微軟等廠商公布的信息看，到現在還不能說完全解決漏洞問題。好在，到目前為止沒有一個實際被攻破的案例，各家公司都表示未發現利用上述漏洞發動攻擊的證據。

AI商業認為，這次芯片漏洞事件堪比當年的“千年蟲”問題，已成為“一損俱損”的全行業事件，需要整個產業鏈的密切配合、共同解決。解決得好，大家都化險為夷，而萬一出現安全攻擊事件，損害的不僅是英特爾或哪一家廠商，而是整個產業。

這不僅讓人回想起當年整個產業“集體”應對“千年蟲”問題時的場景。“千年蟲”算是一種程序處理日期上的bug。由于其中的年份只使用兩位十進制數來表示，因此當系統進行跨世紀的日期處理運算時，就會出現錯誤的結果，進而引發各種各樣的系統功能紊亂甚至崩潰。

20世紀90年代末，“千年蟲”問題是許多專家廣泛討論的話題，它可能引發飛機碰撞、輪船偏離航向、證券交易所崩盤等問題，一旦出錯后果不堪設想。

而“千年蟲”問題之所以基本平穩地度過，與政府和整個產業的重視和大力修復分不開，當然也離不開媒體鋪天蓋地的宣傳。就算這樣，也有少數落后國家不夠重視或者資金技術不足，導致“千年蟲”發作，一些政府機構和電力系統運行癱瘓。

所以，AI商業認為，相關廠商、用戶和政府部門都應該拿出當年應對“千年蟲”問題的態度來積極應對，防患于未然。一要密切跟蹤該漏洞的最新情況，及時評估漏洞的影響。二要對芯片廠商、操作系統廠商和安全廠商等發布的補丁及時跟蹤測試，制定修復工作計劃，及時更新安裝。

我們相信，只要齊心協力，積極應對，芯片漏洞問題最終也將是“虛驚一場”。endprint