“芯片漏洞”堪比“千年虫”,影响面太大能顺

  “芯片漏洞”媲美“千年虫”,表面的影响是否太大而无法成功解决呢?

  【技术新闻】1月11日消息,今年刚过年过后,爆发几乎风靡整个IT行业的芯片漏洞事件,让人们只是放松紧张。据国内外媒体披露,整个事件顺序如下:2017年,Google的ProjectZero团队发现了一些CPU推测执行引发的芯片级漏洞,“Specter”(变体1和变体2:CVE-2017 )-5753和CVE-2017-5715)和“Meltdown”(变体3:CVE-2017-5754),这三个都是固有的体系结构缺陷,允许非特权用户访问系统内存,从而读取敏感信息。 2017年6月1日,Project Zero安全小组的一名成员向英特尔和其他芯片制造商告知这些漏洞,并且直到2018年1月2日,The Technology Media的一篇文章,上述CPU漏洞的登记曝光,安全问题浮出水面,也让英特尔在一次突如其来的危机中,导致了股价上涨。芯片漏洞爆发,引起媒体和业界的广泛关注:不仅将英特尔在CPU市场占有率绝对优势的媒体抛向了旋风舆论聚集,也引起大家对安全问题的关注。人们不禁要问,芯片漏洞早已被发现,为什么被宣布?英特尔是否打算隐瞒它?推迟公告,准备响应计划的获奖时间从媒体披露来看,1995年以来大多数大规模生产的处理器都有可能受到上述漏洞的影响,涉及大部分常见操作系统。尽管基于英特尔架构,但大多数主流处理器如ARM,高通,AMD等芯片组也都受到漏洞的影响,IBM POWER对处理器的细节也产生了影响。使用这些芯片的电脑,平板电脑,手机,云服务器等主流操作系统,如Windows,Linux,macOS,Android等终端设备都受到上述漏洞的影响。应该说这是一个跨厂商,跨界,跨架构,跨操作系统的重大漏洞事件,几乎席卷了整个IT行业。据“华尔街日报”报道,Project Zero安全团队于2017年6月1日与英特尔等芯片厂商合作,在过去七个月中,英特尔一直与其他主要芯片厂商,客户和合作伙伴一起努力合作伙伴包括苹果,谷歌,亚马逊和微软正在加紧解决这个问题,一个大型科技公司联盟正在共同研究和准备计划。据消息人士透露,联盟成员达成保密协议,推迟开放研发解决方案,确保发布漏洞“准备就绪”。消息人士还表示,原计划在1月9日开放,而作为技术媒体的注册机构1月2日就揭露芯片漏洞,引领英特尔等公司提前公告。在芯片漏洞曝光后的第二天,英特尔在1月3日发布了最新的安全研究和英特尔产品发布公告,公布了受影响的处理器名单。 1月4日,英特尔宣布与其行业合作伙伴在软件补丁和固件更新方面进行部署取得重大进展。英特尔发布了过去五年推出的大多数处理器产品的更新,预计在本周末前将覆盖过去五年推出的超过90%的处理器产品。随后,微软,Google等大型科技公司纷纷响应该计划的漏洞,表示已经或者已经更新了自己的产品和服务。微软发布了一个安全更新来保护使用英特尔和其他公司芯片的用户设备;苹果证实,所有的Mac和iOS设备都受到这个漏洞的影响,但发布了一个防御补丁;谷歌表示已经更新了大部分系统和产品,增加了抵御攻击的保护;高通公司表示正在为受近期芯片级安全漏洞影响的产品开发安全更新。一些网络安全专家认为,虽然影响范围广泛,对于普通用户来说可能不会太惊慌,但主要受云服务提供商影响较大。大多数云服务提供商也宣布了计划和时间表来回应。阿里云:将于1月12日凌晨1点采用热升级的方式进行虚拟化更新的底部。腾讯云:1月10日01:00-05:00通过热升级技术,针对硬件平台和虚拟化平台进行后期修复,对于极少量不支持热升级的服务器,腾讯云安全团队将分开通知。百度云:将在虚拟机和物理机两个层面进行修复,并将于2018年1月12日零点修复升级。华为云:分析漏洞,跟踪主流操作系统发布补丁。 AWS:新服务器默认有一个补丁。 AI Business认为幸运的是不要宣布发现漏洞,否则如果没有发布响应计划,会导致更大的安全隐患或恐慌。目前耽误的漏洞宣布,英特尔,微软等各大厂商已经做好了充分准备,纷纷发布补丁和更新程序。芯片漏洞媲美“千年虫”,我们需要“联手”在IT发展史上,随着计算机软件技术的发展或设计缺陷可以说是一个不可避免的现象。因为,技术在发展,黑客技术也在不断发展,很多年前发现没有漏洞,多年来可能会发现漏洞。 “不管你信不信,漏洞可能在那里,但谁也找不到。”一旦发现漏洞,只有积极解决,才能避免损失,采取预防措施。芯片是整个信息系统的“核心”和核心。解决了这个芯片级,前所未有的高级别安全漏洞,涉及范围广泛,难度可想而知!这不是英特尔能够解决的芯片领先者之一,不仅仅是英特尔,ARM,AMD等芯片厂商应该积极应对这个问题。而且,据英特尔,微软等厂商公布的信息看,截至目前还不能完全解决漏洞的问题。幸运的是,到目前为止,没有任何实际案例受到损害,每家公司都表示没有发现使用上述漏洞进行攻击的证据。 AI商业公司认为,这个芯片漏洞事件与今年的“千年虫”问题相当,已成为整个行业的“一败涂地”事件。它需要整个产业链的密切配合,共同解决问题。很好的解决了,我们得救了,如果发生安全事件,损害不仅是英特尔或制造商,而是整个行业。这不仅让我们想起了整个行业“集体”攻克“千年虫”问题的场景。 “Y2K”是程序处理日期的错误。由于年份仅用两位十进制数字表示,当系统执行跨世纪的日期处理计算时会出现错误的结果,导致各种系统故障甚至崩溃。 20世纪90年代后期,千年虫问题成为许多专家广泛讨论的话题。这可能会引发诸如飞机碰撞,航向偏离和证券交易所崩溃等问题。一旦这个错误的后果是灾难性的,千年虫之所以毫不迟延地基本上过去了,离不开政府和整个行业的关注和大力修复。当然,这与媒体的广泛宣传是分不开的,即便如此,也有一些落后的国家,要么没有引起足够的重视,要么缺乏足够的资金和技术,导致千年虫和麻痹的发生一些政府机构和电力系统运营商,因此,艾商人认为,相关厂商,用户和政府部门应该提出当前对“千年虫”态度的回应,积极采取防范措施,首先要密切关注跟踪漏洞的最新情况,及时评估漏洞的影响;其次,要跟踪芯片厂商,操作系统厂商和安全厂商发布的补丁,制定恢复工作计划,更新安装我们相信,只要我们齐心协力,积极应对,芯片漏洞问题就会随之而来盟友变成“虚惊一场”。