芯片漏洞堪比千年蟲 影響面大能順利解決嗎？

　　根據(jù)國內(nèi)外媒體的披露，事件的來龍去脈是這樣的：

　　2017年，Google旗下的ProjectZero團隊發(fā)現(xiàn)了一些由CPUSpeculativeExecution引發(fā)的芯片級漏洞，“Spectre”(變體1和變體2：CVE-2017-5753和CVE-2017-5715)和“Meltdown”(變體3：CVE-2017-5754)，這三個漏洞都是先天性質(zhì)的架構(gòu)設(shè)計缺陷導(dǎo)致的，可以讓非特權(quán)用戶訪問到系統(tǒng)內(nèi)存從而讀取敏感信息。

　　2017年6月1日，ProjectZero安全團隊的一名成員在向英特爾和其他芯片生產(chǎn)商告知了這些漏洞的情況，而直到2018年1月2日，科技媒體TheRegister在發(fā)表的一篇文章中曝光了上述CPU漏洞，才讓芯片安全漏洞問題浮出水面，也讓英特爾陷入一場突如其來的危機，導(dǎo)致股價下跌。

　　芯片安全漏洞爆出后，引起了媒體和業(yè)界的廣泛關(guān)注：不但將在CPU上市場份額占絕對優(yōu)勢的英特爾拋到輿論漩渦中，也引起大家對安全問題的擔(dān)憂。人們不禁要問，芯片漏洞問題早已發(fā)現(xiàn)，為什么到才被公布?是英特爾有意隱瞞嗎?

　　延期公布，為準備應(yīng)對方案贏得了時間

　　從媒體披露的情況來看，1995年以來大部分量產(chǎn)的處理器均有可能受上述漏洞的影響，且涉及大部分通用操作系統(tǒng)。

　　雖然是英特爾為主，但ARM、高通、AMD等大部分主流處理器芯片也受到漏洞影響，IBMPOWER細節(jié)的處理器也有影響。采用這些芯片的Windows、Linux、macOS、Android等主流操作系統(tǒng)和電腦、平板電腦、手機、云服務(wù)器等終端設(shè)備都受上述漏洞的影響。

　　應(yīng)該說，這是跨廠商、跨國界、跨架構(gòu)、跨操作系統(tǒng)的重大漏洞事件，幾乎席卷了整個IT產(chǎn)業(yè)。

　　根據(jù)《華爾街日報》報道稱，ProjectZero安全團隊在2017年6月1日向英特爾和其他芯片生產(chǎn)商告知漏洞情況后，這7個月時間里，英特爾一直在努力聯(lián)合其他主流芯片廠商、客戶、合作伙伴，包括蘋果、谷歌、亞馬遜公司和微軟等在加緊解決這一問題，一個由大型科技公司組成的聯(lián)盟正展開合作，研究并準備應(yīng)對方案。

　　據(jù)消息人士透露，該聯(lián)盟成員之間達成了保密協(xié)議，延遲公開，研究開發(fā)解決方案，確保公布漏洞后“準備就緒”。該消息人士還稱，原計劃1月9日公開，而由于科技媒體TheRegiste在1月2日就曝光了芯片漏洞問題，導(dǎo)致英特爾等公司提前發(fā)布了相關(guān)公告。

　　在芯片漏洞曝光后的第二天，1月3日英特爾公布了最新安全研究結(jié)果及英特爾產(chǎn)品說明，公布受影響的處理器產(chǎn)品清單。

　　1月4日，英特爾宣布，與其產(chǎn)業(yè)伙伴在部署軟件補丁和固件更新方面已取得重要進展。英特爾已針對過去5年中推出的大多數(shù)處理器產(chǎn)品發(fā)布了更新，到這個周末，發(fā)布的更新預(yù)計將覆蓋過去5年內(nèi)推出的90%以上的處理器產(chǎn)品。

　　隨后，微軟、谷歌以及其他一些大型科技公司相繼發(fā)布關(guān)于漏洞的應(yīng)對方案，表示他們正在或已對其產(chǎn)品和服務(wù)提供更新。

　　微軟發(fā)布了一個安全更新程序，以保護使用英特爾和其他公司芯片的用戶設(shè)備;蘋果確認所有的Mac系統(tǒng)和iOS設(shè)備都受到該漏洞影響，但已發(fā)布防御補丁;谷歌表示，已更新了大部分系統(tǒng)和產(chǎn)品，增加了防范攻擊的保護措施;高通表示，針對受到近期曝光的芯片級安全漏洞影響的產(chǎn)品，正在開發(fā)安全更新。

　　有網(wǎng)絡(luò)安全專家認為，雖然漏洞影響范圍廣泛，對于普通用戶，大可不必過于恐慌，但受影響較大的主要會是云服務(wù)廠商。大部分云服務(wù)廠商也公布了應(yīng)對方案和時間表。

　　阿里云：將在1月12日凌晨1點采用熱升級的方式進行虛擬化底層的更新。

　　騰訊云：將在1月10日凌晨01：00-05：00通過熱升級技術(shù)對硬件平臺和虛擬化平臺進行后端修復(fù)，對于極少量不支持熱升級方式的服務(wù)器，騰訊云安全團隊將另行進行通知。

　　百度云：將在虛擬機和物理機兩個層面進行修復(fù)，并將于2018年1月12日零點進行熱修復(fù)升級。

　　華為云：正在對漏洞進行分析，跟進主流操作系統(tǒng)發(fā)布補丁的情況。

　　AWS：新的服務(wù)器默認已經(jīng)有補丁。

　　AI商業(yè)認為，幸好不是漏洞一發(fā)現(xiàn)就公布，否則，在沒有應(yīng)對方案出來就公布，會引起更大的安全擔(dān)憂或恐慌。而延遲到現(xiàn)在公布漏洞，英特爾、微軟等主要廠商已做好充足的準備，相繼繼發(fā)布了補丁和更新方案。

　　芯片漏洞堪比“千年蟲”，需要大家“在一起”

　　在整個IT發(fā)展史上，隨著技術(shù)發(fā)展所暴露出來的計算機軟件或設(shè)計漏洞可以說是一種難以避免的現(xiàn)象。因為，技術(shù)在發(fā)展，黑客技術(shù)也在不斷發(fā)展，多年前沒發(fā)現(xiàn)存在漏洞，多年后就可能發(fā)現(xiàn)存在漏洞。“你信或不信，漏洞可能就在那里，只是還沒人能夠發(fā)現(xiàn)”。

　　而一旦漏洞被發(fā)現(xiàn)，只有積極應(yīng)對解決，才能避免損失，防患于未然。

　　芯片是整個信息系統(tǒng)的“心臟”和核心。解決這樣芯片級的、前所未有的，涉及面極廣的、高危級別的重大安全漏洞，難度系數(shù)可想而知!

　　這已不是芯片領(lǐng)頭廠商英特爾一家可以解決的，也不只是英特爾、ARM、AMD等芯片廠商應(yīng)該積極應(yīng)對的問題。而且，根據(jù)英特爾、微軟等廠商公布的信息看，到現(xiàn)在還不能說完全解決漏洞問題。好在，到目前為止沒有一個實際被攻破的案例，各家公司都表示未發(fā)現(xiàn)利用上述漏洞發(fā)動攻擊的證據(jù)。

　　AI商業(yè)認為，這次芯片漏洞事件堪比當(dāng)年的“千年蟲”問題，已成為“一損俱損”的全行業(yè)事件，需要整個產(chǎn)業(yè)鏈的密切配合、共同解決。解決得好，大家都化險為夷，而萬一出現(xiàn)安全攻擊事件，損害的不僅是英特爾或哪一家廠商，而是整個產(chǎn)業(yè)。

　　這不僅讓人回想起當(dāng)年整個產(chǎn)業(yè)“集體”應(yīng)對“千年蟲”問題時的場景。

　　“千年蟲”算是一種程序處理日期上的bug。由于其中的年份只使用兩位十進制數(shù)來表示，因此當(dāng)系統(tǒng)進行跨世紀的日期處理運算時，就會出現(xiàn)錯誤的結(jié)果，進而引發(fā)各種各樣的系統(tǒng)功能紊亂甚至崩潰。

　　90年代末，千年蟲問題是許多專家廣泛討論的話題，它可能引發(fā)飛機碰撞、輪船偏離航向、證券交易所崩盤等問題，一旦出錯后果不堪設(shè)想。

　　而千年蟲問題之所以基本平穩(wěn)地度過，與政府和整個產(chǎn)業(yè)的重視和大力修復(fù)分不開的，當(dāng)然也離不來媒體鋪天蓋地的宣傳。就算這樣，也有少數(shù)落后國家不夠重視或者資金技術(shù)不足，導(dǎo)致千年蟲發(fā)作，一些政府機構(gòu)和電力系統(tǒng)運行癱瘓。

　　所以，AI商業(yè)認為，相關(guān)廠商、用戶和政府部門都應(yīng)該拿出當(dāng)年應(yīng)對“千年蟲”問題的態(tài)度來積極應(yīng)對，防患于未然。

　　一要密切跟蹤該漏洞的最新情況，及時評估漏洞的影響。二要對芯片廠商、操作系統(tǒng)廠商和安全廠商等發(fā)布的補丁及時跟蹤測試，制定修復(fù)工作計劃，及時更新安裝。

　　我們相信，只要齊心協(xié)力，積極應(yīng)對，芯片漏洞問題最終也將是“虛驚一場”。