熔斷幽靈來勢洶洶 應共同承擔而非落井下石

文/在前線 華仔、老涼

持續發酵的「熔斷」和「幽靈」兩大漏洞，正在給IT產業帶來一場別開生面的危機和鬧劇。

新年伊始，「熔斷」和「幽靈」兩大漏洞爆出，給互聯網、雲計算、物聯網及整個IT產業帶來恐慌，晶元及各領域巨頭也因此被捲入漩渦之中，甚至有些被誤解，以不同的表情和姿態背鍋。

在前線認為，數據時代，爆出這樣的「危機」，可謂是一大「醜聞」，但這並非是因某一家而起，不管是處理器還是操作系統或者是用戶，都沒必要也不能推卸責任 ，大家應該攜起手來共同解決這個問題。

幽靈與熔斷是如何爆發的？

上周三，谷歌有關安全研究人員報告了「幽靈（Spectre）」和「熔斷（Meltdown）」兩個處理器漏洞，英特爾、ARM及AMD等CPU產品紛紛遭受不同程度的影響。

簡單說下這兩組漏洞。在現代的CPU產品中，廠商往往會採用像亂序執行或預測執行這樣的方法，這是為了提高CPU性能而引入的新特性。使用這兩種方法，當在執行中出現異常時，CPU會恢復到最初的狀態，但其緩存的內容並不會隨著恢復，這個缺陷也就導致了這兩組漏洞的誕生。

至於它們會造成的危害，在不同的場景中會有不同的後果。比如黑客可以利用熔斷（Meltdown）漏洞來獲取超出他許可權之外的信息；用戶如果不小心訪問了包含幽靈（Spectre）漏洞的網站時，自身的一些賬號密碼信息就有可能會被泄露。而且利用幽靈（Spectre）漏洞還能在雲端獲取他人的數據信息。

這兩個漏洞在涉及範圍上也有所不同，熔斷（Meltdown）漏洞對幾乎所有的英特爾CPU及部分ARM CPU有影響，而幽靈（Spectre）漏洞範圍更廣，對所有英特爾CPU、AMD CPU及大多數ARM CPU均有影響。

數據的重要性不用多說，這也是此次漏洞事件曝光後會造成如此震動的主要原因。在CPU領域，英特爾的行業地位是毋庸置疑的，所以當這次問題出現後，大多數的槍頭都對準了它，英特爾瞬間陷入「圍攻」。

在漏洞被曝光當天后不久，英特爾就發布了一份有關漏洞CPU的完整名單。當然這份名單也是著實讓大家「嚇」了一跳：在這份名單上，英特爾1~8代的所有酷睿i3/5/7/9處理器、所有的Xeon至強處理器以及大量的Atom處理器、賽揚奔騰都出現了，幾乎覆蓋英特爾家族全系產品、不過有一點與大多數消息不同，產品的最早追溯時間可以來到2009年，並不是所說的20年前。

亡羊補牢？

問題已經發生，想好怎麼解決才是王道。英特爾在去年接到報警後第一時間就著手和產業協作解決問題，同時為自身產品線提供軟體和固件更新來抵禦這些破壞。

目前，英特爾已經針對過去5年中推出的大多數處理器產品發布了更新。根據前幾日英特爾給出的通知，到下周末，其發布的更新預計將覆蓋過去5年內推出的90%以上的處理器產品。

除此之外，許多操作系統供應商、公共雲服務提供商、設備製造商等廠商也表示，它們正在或已對其產品和服務提供更新。

對於推送的更新，一些企業用戶有是否會對現有設備產生影響的擔憂，英特爾也針對此發出了聲明。根據英特爾的公告，這些更新對不同工作負載的性能會有不同程度的影響。對於一般的計算機用戶來說，影響並不顯著，而且會隨著時間的推移而減輕。

還有對於某些特定的工作負載，一開始對性能的影響會比較高，但在經過後續的優化後，如更新部署後的識別、測試和軟體更新改進等，就會減輕這種影響。

值得注意的是，並不是所有的產品都會存在「熔斷」和「幽靈」的漏洞。近日，樹莓派基金會對外宣布了一則公告：全系產品均對Meltdown 和 Spectre 漏洞免疫。

這次危機考驗產業友誼

這個事件曝光後，英特爾因其在CPU領域的地位，成了明面上最大的「背鍋俠」，不過這個說法不太恰當，因為這是產業共同面對的問題。但是，作為產業的龍頭，英特爾也理應站出來承擔更多。

在問題曝光後，谷歌就對這次的漏洞有過一次大致的介紹：幾乎會影響每個人，每台設備。換句話說，這個問題針對的不是某個企業，而是對包括所有晶元廠商——英特爾、AMD、ARM，和主要操作系統——Windows、Linux、Android等，以及雲服務提供商——亞馬遜、Google、Microsoft在內的整個行業都會產生影響。

其實，類似這樣的「危機」，上世紀90年代末，全IT業都在為千年蟲感到恐慌。當時，給人感覺業界還是挺單純和團結的。

從表面上看，英特爾因為是處理器大廠，看似它受到的影響最大，不過，因為現代處理器架構設計的緣故，導致此次這次危機，整體上，所有廠商都應該有所承擔，而不是看笑話，或者有所推諉。

從英特爾的種種舉措來看，似乎是一次很積極有效的「亡羊補牢」工作，但其實，包括英特爾在內的各大科技公司卻是早有籌謀。

事件曝光兩天後，英特爾與「老對手」AMD以及晶元設計商ARM共同表示，部分處理器存在可能被黑客利用的安全漏洞，這一問題會影響到一系列的電腦、智能手機及其他設備晶元，但到目前為止尚無與之相關的入侵事件。

這是一個好消息，但更好的是，在漏洞曝光前，這些晶元生產商及其客戶、合作夥伴，包括蘋果、谷歌、亞馬遜和微軟等在內的科技巨頭，都已經在加緊解決這一問題。

行業的「哀」與「興」

新年開投遇見這樣的事，除了給整個IT行業敲響了一次安全的警鐘之外，更多的是讓外界見識到了智能時代各IT企業之間面對新問題時的積極態度。

其實在2017年6月初，谷歌Project Zero安全團隊的一名成員就已經向英特爾以及行業內的其他晶元生產商告知了這些漏洞的情況，而這些企業也都開始著手解決。

不過可惜的是，儘管早有準備，但英特爾和其它公司目前仍處在努力封堵這些安全缺口的階段。這個原因有很多，英特爾解釋到，一方面是修復這些漏洞需要向數十億台設備發布安全更新，另一方面是一些安全補丁可能會影響加快處理器運行速度的晶元功能，從而導致減慢設備的運行速度。

另外還有別的原因的話，就是這次事故需要整個行業的共同努力。漏洞的發現者——谷歌安全團隊的Horn認為，要想應對這次「危機」，就需要CPU廠商的固件修復、操作系統修復和應用廠商的共同協作。

當然，目前來看，狀況還算不錯。單看上面合作的這些企業名字就知道，為了應對這次事故，一個由大型科技公司組成的聯盟正清晰地展現在人們面前，它們把手拉在一起，共同保護用戶的數據信息安全，並向客戶的電腦和智能手機發送補丁。

在前線認為，此次幽靈與熔斷兩大漏洞，給業界敲響了警鐘，一方面在不斷創新持續升級的過程中，應更加重視安全，另外，當某一個產業難題出現時，大家都應該有所擔當，而不是為了某些商業利益，站在那裡事不關己地看笑話，甚至落井下石。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！