英特尔目前已经携手国内外科技厂释出首波安全更新,英特尔预计至下周末,最新更新预计解决过去5年内推出90%以上处理器产品的安全疑虑。
针对日前国外媒体爆光的英特尔CPU重大安全漏洞,除了Microsoft、Linux、苹果 和 Google 都开始释出更新来解决问题外,英特尔 在证实这项消息之后不到 24 小时内,也针对各系统的计算机与服务器发布一项更新,并已经获得 苹果、Microsoft、Amazon与Google等四家公司测试认同,证实不会因为更新而降低系统效能。
安全漏洞确实存在,而且影响的是全世界所有计算机
这绝对不是危言耸听,不过也不用太过焦虑,目前所有科技大厂都已经有初步对策。在前篇报导「英特尔认了CPU安全漏洞问题…AMD、ARM等所有计算机都中招」当中,英特尔坦承芯片设计上有安全漏洞的疑虑,但否认这项漏洞会因为系统更新而降低效能,同时也表达正与AMD、ARM 控股和多家操作系统供货商在内的技术公司紧密合作,以实时和有效的解决这个问题,在这同时,英特尔 已经开始提供相对应的软件与韧体更新,藉此降低这些漏洞的安全风险。而即使 AMD 声称自家设备安全无风险,并表示会释出安全更新,然而国外媒体认为AMD不可能、也该这么乐观,而且已经有测试报告指出,AMD 的产品确实可以因为这漏洞而被入侵。
这些声明都意味着,全世界的计算机都有这个重大安全漏洞的疑虑。而后续 Google Projet Zero 的报告进一步指出,这项安全漏洞主要有「Meltdown」和「Spectre」两个。Meltdown 是编号为 CVE-2017-5754 的漏洞,可让黑客以系统管理员的身份,存取计算机内的应用程序与操作系统所用到的某些内存,这方面主要是 英特尔 处理器的问题。
至于另一个 Spectre 是编号 CVE-2017-5753 与 CVE-2017-5715 两个漏洞的总称,可让黑客以系统权限获取处理器的计算机当中,核心内存内的数据,这包括个人密码、登入密码等等,即使 英特尔 强调这问题黑客并无法修改这些数据,然而这项漏洞却可以让黑客得以在使用者不知不觉当中,入侵个人计算机,作出更大的破坏,而这个安全漏洞问题就很大条,影响的公司还横跨 英特尔、AMD及ARM三家公司所生产的系统芯片,换句话说,几乎全世界的计算机,都会有这方便的问题,这也是为什么这次的事件被视为重大安全层级上的问题。
▲Google Project Zero 团队率先发现「Meltdown」和「Spectre」两个安全漏洞,并在第一时间向 英特尔 发出警告。
iOS 跟 Android 也中镖,各家厂商释出更新救火
除了计算机厂商该担心外,行动设备厂也出问题,由于ARM的Cortex-A芯片也有这方面的疑虑,而Cortex-A目前广泛应用于手机处理器平台,这包括高通、联发科、三星、华为生产的行动芯片,而这整起事件则是因为苹果公司的一项公开声明造成恐慌。苹果 公司向国外媒体响应,不只所有的 Mac 设备,iOS 设备已经受到“Meltdown”和“Spectre”安全漏洞的威胁。Google Project Zero 团队也在一份报告当中,明确说明 Android 设备也受到威胁。
对此,率先发出声明的 Microsoft、Linux 和 Google,依序宣布释出安全更新。微软除了针对 Surface 进行安全性更新,也已经于美国时间 2018 年 1 月 3 日在最新的 Windows 10 系统发布了「KB4056892」更新文件,用户可直接透过系统设定的 Windows Update 下载。至于苹果mac OS 则已经在 2017 年 12 月释出 macOS 10.13.2 更新来修补安全漏洞。至于 Google 公司在最新声明当中,口径与 英特尔 一致,并已经针对YouTube、Google Ads、Chrome 等应用内容推出相对应的防范措施,同时针对 Android 推出安全修补更新。Mozilla 也推出了 Firefox 57 来解决相关漏洞。至于 Linux 系统方面,亦已经发放 KAISER 修正档案。
▲微软已于美国时间 2018 年 1 月 3 日在最新的 Windows 10 系统发布了「KB4056892」更新檔。
不会再发生「芯片召回事件」
对此,英特尔 CEO Brian Krzanich接受国外媒体访问时指出,Meltdown 和 Spectre 比起 1994 年的 FDIV 容易解决,强调这两个安全问题并没有外界解读得这么严重,而且 英特尔 很早之前就已经跟合作厂商携手解决这项问题,并强调这次的事件,并强调不会对芯片进行召回的举动。
总之,这次发生的问题影响的层面包括 Windows、Linux、macOS、亚马逊AWS、Android 系统、iOS 系统跟 ChromeOS等所有装置,虽然各家厂商声称可在最新的系统更新之后获得解决。然而真的是安全无虑吗?其实并不然,国外媒体引述多项研究报告指称,新的操作系统更新将会影响到整个装置效能。
第一批「不影响效能」的安全更新只抢救过去5年内「9成设备」
对此,英特尔 在 1 月 5 日的最新声明当中表示,已经针对过去 5 年当中的大多数处理器产品发布更新,藉此避免 Google Project Zero所报告的 Spectre 和 Meltdown 两种漏洞,预计至下周末,英特尔 发布的更新预计将包含过去5年内推出90%以上的处理器产品。
英特尔 再次强调,这些更新对不同工作负载的性能影响也会不一样。对于一般的计算机用户来说,影响并不显著,而且会随着时间的推移而减轻。虽然对于某些特定的工作负载,软件更新对性能的影响可能一开始相对高,但随着采取后续进一步的优化工作,包括更新部署后的识别、测试和软件更新改进,「应该」可以减轻这种影响,建议所有用户能够启用操作系统以及其他计算机软件的自动更新功能,以确保其系统是最新版本。
对此,包括苹果、Amazon、Google和微软都已评估并且报告结果,相关声明整理如下:
苹果:「我们的GeekBench 4效能基准检验(benchmark)以及Speedometer、JetStream和ARES-6等常见的Web浏览效能基准检验结果,2017年12月的更新没有显著降低macOS和iOS的效能。」
Microsoft:「绝大多数Azure客户不会感受到此次更新对效能的影响。我们已经将CPU和硬盘I/O路径优化,在更新后并未看到对效能产生明显的影响。」
Amazon:「我们并没有观察到这对绝大多数EC2工作负载的效能有产生实际的影响。」
Google:「在包括云基础架构(cloud infrastructure)在内的大多数工作负载上,我们看到对效能的影响可谓是微乎其微。」
不过这整起事件,最大的问题仍然是发生在 英特尔 于 1995 年到 2013 年推出的旧款处理器,也就是说市场上超过 5 成以上的老旧计算机,都有这样的危机,而微软这次发布的更新,也是针对 Windows 10 系统,针对 Windows 7、XP 等系统并未做出进一步的响应,也就是说这首波更新后,多数计算机仍有安全层级上的疑虑。
强烈建议用户进行更新
总而言之,如果你的设备是近期才刚购买,那么恭喜你,可能目前的最新安全更新可以帮助你避免黑客攻击,个人私密数据也可以被很安全的保护着。至于效能方面,英特尔 指出,这些更新对效能的影响,很大程度取决于具体的工作负载。对于一般的计算机用户来说影响并不显著,并会随着时间的推移而减轻。
发表回复