Intel回應CPU內核漏洞：別只盯著我們！ARM中槍，AMD躺槍

來源：EETOP

物聯網智庫 整理髮布

轉載請註明來源和出處

------【導讀】------

關於昨日曝光的嚴重安全漏洞，Intel今晨打破了沉默。

Intel官方回應稱，他們和相關科技公司已經完全了解到了安全漏洞的工作機制，如果被惡意利用，有可能會造成信息數據泄露，但是絕沒有修改、刪除和導致系統崩潰的可能。

第二點，關於該漏洞僅僅是Intel x86-64處理器的一個設計BUG或者說缺點，Intel認為報道有誤。他們指出這個不只是INTEL一家的錯，AMD/ARM的伺服器系統事實上也受到波及，大伙兒正緊密配合，研究出最徹底的應對之策。

第三點，所謂的打上補丁後性能損失30%~35%。Intel強調，性能問題是與工作負載強關聯的，不能一概而論。事實上，就每個用戶而言，不會有顯著影響，而且（即便性能削弱）也會隨時間減輕。

Intel強調，他們已經開始提供軟體和固件更新。本來都和微軟、谷歌等企業商量好了，下周公開這一漏洞並同時給出解決方案，結果TheReg率先踢爆，同時各種所謂「Intel隱瞞不報、偷著修復」「性能大損失」「Intel x86設計十年大BUG」的報道出現，讓他們不得不提前站出來，以正視聽。

Intel最後說，他們的產品是世界上最安全的，同時，希望用戶能及時跟進系統層面、晶元層面的更新，確保一直被保護。

最後簡單一提，所謂事情的起源Intel的CPU架構（近十年的產品都涉及）被發現核心內存泄漏，有可能讓惡意腳本直接讀取核心內存，拿走敏感信息。同時，外部研究者稱，Intel無法通過BIOS更新修復，Linux內核甚至Windows NT都要跟著填坑才行。

現在，AMD和ARM也做出了回應。

據PCPer報道，AMD對相關漏洞的三種攻擊形式進行了分析發現，由於AMD架構設計的不同和OS級的修復已經推出，可認為他們的產品目前接近零風險。

ARM指出（Axios報道），漏洞的形式是越級訪問高許可權的內存數據，他們用戶物聯網的Coertex-M處理器沒事，但部分Corex-A處理器可能容易受影響。只是，ARM尤其指出，比起Intel，那我們安全好多的。

谷歌Project Zero安全團隊也第一時間站出來聲援Intel，措辭基本一致。谷歌稱，安卓等相關係統已經得到修復，可以抵禦此次風險。

附：Intel CPU底層漏洞事件完全詳解

今晨，《福布斯》、WMPU等撰文對此次事件進行了一次詳細的披露和解釋，整理如下——

1、哪些系統受影響？

Windows、Linux、macOS、亞馬遜AWS、谷歌安卓均中招。

2、除了Intel處理器，還波及哪些硬體？

ARM的Cortex-A架構和AMD處理器。

Cortex-A目前廣泛用於手機SoC平台，包括高通、聯發科、三星等等。

雖然AMD稱基於谷歌研究的三種攻擊方式，自己的處理器基本免疫。但Spectre（幽靈）漏洞的聯合發現者Daniel Gruss（奧地利格拉茨技術大學）稱，他基於AMD處理器的Spectre代碼攻擊模擬相當成功，絕不能低估。

3、如何修復？

Intel建議關注後續的晶元組更新、主板BIOS更新，但首先，應該把OS級別的補丁打上。

對於Meltdown漏洞：Linux已經發布了KAISER、macOS從10.13.2予以了修復、谷歌號稱已經修復，Win10 Insider去年底修復、Win10秋季創意者更新今晨發布了KB4056892，將強制自動安裝。

亞馬遜也公布了指導方案。

對於難度更高的Spectre漏洞，目前仍在攻堅。

4、Windows 7/XP受影響不？

微軟承諾，將在下一個補丁日幫助Win7修復，但是否惠及XP沒提。

5、打補丁性能受到影響？

研究者Gruss稱對此，他無法給出確切結論，但從Intel聲明的措辭中可以確認會有性能損失。

福布斯稱，性能影響較大的是Intel 1995年到2013年的老處理器，最高可達50%，從Skylake這一代之後就幾乎察覺不到了。

6、那麼這些漏洞造成什麼損失了？

由於兩個漏洞都是越級訪問系統級內存，所以可能會造成受保護的密碼、敏感信息泄露。

但福布斯了解到，目前，尚未有任何一起真實世界攻擊，所有的推演都來自於本地代碼模擬。

所以，看似很嚴重但其實也可以理解為一次安全研究的勝利。研究者稱，漏洞要在個人電腦上激活需要依附與具體的進程等，比如通過釣魚軟體等方式植入。

7、殺毒軟體有效嗎？

可結合第6條來理解，真實世界攻擊中，殺軟的二進位文件比對法可能會提前發現，但尚無定論。

PS：漏洞分析

安全人員將兩個新的漏洞命名為Meltdown（熔斷）和Spectre（幽靈），前者允許低許可權、用戶級別的應用程序「越界」訪問系統級的內存，從而造成數據泄露。

而Spectre則可以騙過安全檢查程序，使得應用程序訪問內存的任意位置。

研究人員這樣解釋Spectre的機制，想像中在《星球大戰》中讓絕地武士偷你的錢，他們可以讓你毫不知情的情況下就用原力做到。

GIF/2K

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！