Intel漏洞或將持續數十年，你的系統更新了嗎？

天下 01-11

英國技術媒體《The Register》報道，英特爾製造的中央處理器(CPU)存在設計缺陷，其安全問題產生的影響正在擴大。英特爾1月3日反駁了報道內容，解釋稱「這並非特定CPU的設計缺陷或瑕疵，而是包括AMD、ARM控股、(微軟等)操作系統企業等在內、整個IT行業正在採取對策的問題」。隨後各家企業也相繼宣布了應對措施。

新年初始，很多人的計算機和手機，甚至是公司的伺服器都受到了大漏洞系統漏洞的影響，徹底的清除也需要很長的時間。

安全漏洞的事件頻繁，規模有大有小。但這次出現的Meltdown和Spectre規模足以躋身頭號陣營，與2014年爆發的Heartbleed和Shellshcok、2017年爆發的Krack等相媲美。

究竟發生了什麼

最早報告這些問題的是一個科技新聞網站——The Register。

發現影響的是谷歌、幾所大學及一些獨立分析人員，此次影響主要波及到了微處理器。

Meltdown專門影響英特爾晶元，包括我們現在使用的，但最早可追溯至1995年產的晶元。世界上大多數PC以及很多雲服務、網路託管服務（如Amazon Web Services）的伺服器都採用了英特爾的微處理器。

Spectre則波及另兩家大型設計與製造商的晶元：ARM和AMD。多家廠商的產品都受到影響，因為問題源於一個設計缺陷。而該晶元也都被用在了手機上。

這兩個漏洞的波及範圍有多大呢？按照亞馬遜官網發布的消息，這兩個漏洞在現代處理器架構中已經存在了20多年。

這些漏洞有何潛在後果

和近些年所有的重大漏洞一樣，這兩種漏洞也有自己的網站，上面寫道：「利用這兩個硬體漏洞，程序可以竊取計算機正在處理的數據。」

兩個漏洞允許軟體讀取運行中程序的內存，使數據竊取成為可能。雖然從嚴格意義上講，Spectre和Meltdown的利用方式有所不同，但兩者都可以突破操作系統中應有的獨立環境。從理論上講，因為它們的存在，任何運行中程序的數據都可以被盜：密碼、文件、電子郵件等都可能失竊。

還有一個新的發現。Firefox瀏覽器的發行商表示， Meltdown和Spactre可以用來攫取瀏覽器的數據。他們著重指出，這是在內部實驗中發現的，並且已經採取臨時補救措施。

你的電腦被入侵了嗎

當前暫無Meltdown或Spectre被利用的報道。曾有研究人員利用這兩種漏洞作為概念驗證，這就意味著，某些有意利用這些漏洞的個人或團體有可能加以複製。而相對於Meltdown，Spectre更難去被加以應用。

怎麼補救

如果你是IT管理員，你就該咬牙切齒了。受影響的供應商包括AMD、蘋果、ARM、谷歌、英特爾、Linux Kernel、微軟和Mozilla。

所幸，針對內置英特爾處理器的設備，現在已經有補丁可以緩解問題。硬體廠商已經開始發布系統更新。凡是持有受影響設備的，都應該儘快安裝廠家提供的更新。但補丁有可能將機器速度拖慢30%之多。英特爾反駁了性能下降之說，表示它們是誇大其詞。

但如果不安裝防禦Meltdown的更新，那麼，Meltdown就可能被人利用，導致數據遭竊。

需要面臨的問題是：目前還沒有針對Spectre的補丁。在沒有補丁的情況下，要徹底剷除這個問題，唯一的辦法就是換掉微處理器。但生產商不太可能給數百萬受影響機器全都提供替代晶元。因此，只有在所有受影響的產品都退出歷史舞台之後，Spectre漏洞才會銷聲匿跡。考慮到企業和政府機構依賴老舊硬體的程度，這個過程可能會持續十年或者更久。