2018年第一周都还没过完,科技圈就非常不平静,先是苹果的“电池门”事件引发议论,本周也传出半导体大厂Intel近年生产的处理器出现安全瑕疵,影响层面扩及个人电脑、智能手机、云端服务,可能导致受保护的核心记忆体(protectedkernel memory)资料外洩,开发人员虽然已着手进行软体修复,但却传出更新后有可能导致产品效能降低5% 至30%。
处理器重大安全漏洞,私密资料有外洩疑虑
这宗安全漏洞消息,是由 Alphabet 旗下的 Google Project Zero团队,以及多国的研究人员共同合作发布的研究报告所揭露,存在 Intel 处理器的设计瑕疵存在已久,推测近10年搭载 Intel处理器的 Windows、Mac 与 Linux 电脑可能都受到影响。
报告中提到被命名为“Meltdown”跟“Spectre”的两个漏洞,其中“Meltdown”的漏洞只存在於 Intel晶片,可以让骇客接触到电脑记忆体内的私密资料,包括瀏览器上的密码、帐号登入资讯、照片、e-mail、个人消息,甚至是商业文件,发现Meltdown 漏洞的研究人员甚至说,这有可能是近来最严重的处理器(CPU)漏洞之一。
报告中提到被命名为“Meltdown”跟“Spectre”的两个漏洞。图片来源:Meltdown Attack
处理器漏洞风暴延烧,各家晶片大厂纷发声明
研究人员在报告中指出:“根据现在的分析,不同的电脑装置、配有不同供应商的处理器以及运作系统,也都有受到攻击的可能。”先前还一度传出超微(AMD)生产的处理器也受到漏洞影响,随着整起事件越演越烈,AMD也赶紧发出声明,强调自家处理器由於基础架构设计的不同,因此AMD处理器几乎不可能存在Intel这一系列的安全问题;ARM随后也透过声明表示,产品核心通常採用管控严格的封闭环境,因此也几乎没有遭到攻击的风险;Nvidia也透过声明表示,图形处理器(GPU)是公司的核心业务,有信心自家的GPU硬体不受到影响,也正积极更新GPU以降低处理器的安全风险。
Intel 执行长科再奇(Brian Krzanich)在本周一个访谈中表示:“我们好几个月以前就收到 Google的通知(安全漏洞消息)。”并表示截至目前没有出现任何骇客攻击的案例,保证很快就会提出补救的措施。
Intel执行长科再奇(BrianKrzanich)被爆出在漏洞消息被揭露前,大卖持有价值数百万美元的Intel股票。图片来源:Twiter
但在风头上的 Intel 却爆出执行长科再奇,在漏洞消息被揭露前,大卖持有价值数百万美元的 Intel股票,根据申报资料,科再奇是在去年10/30售股前一个月才拟定交易计画,但 Intel和其他晶片商早在去年六月就已接获安全漏洞警告。
面对质疑,Intel 发言人强调,科再奇本次售股与“Meltdown”、“Spectre”漏洞事件无关,并强调 Intel发现漏洞问题后,原先计划跟微软、Google 要在下周公布解决方案,但没想到却被媒体抢先踢爆,并非刻意隐匿消息。
新系统更新后,效能降3成
这次的漏洞事件,几乎影响到现代每一个电脑处理器,2005年以后生产的 Mac 电脑几乎都使用 Intel 晶片,目前微软Windows 和 Linux 开发人员已经开始着手进行软体修复,针对 Windows、Linux、macOS释出补丁。现阶段释出的修复软体主要都是针对“Meltdown”漏洞,开发人员表示因为“Spectre”难度较高,目前仍是无解的状态。
针对本次安全漏洞疑虑,苹果在去年12月释出的 macOS10.13.2已经修复部分问题,预计在下一个版本macOS10.13.3中,将提供完整的解决方案;微软 Windows 系统方面,则预计在下周透过 Windows Updates自动更新修复。
释出软体更新却也传出Intel产品效能可能因此降低的问题。图片来源:shutterstock
但释出软体更新的同时,却也出现了跟最近苹果“电池门事件”有点相互辉映的问题,影响的层级是需要透过更新 Linux Kernel才能解决,包括 Linux 、 Windows 与64位元的 Mac都需要进行修复,意思是需要将核心记忆体资料隔离起来才能修复这项漏洞,但这有可能会造成无法避免的效能损失。
对 Intel 产品产生的降速程度可能是5% 至30%,大部分的电脑则是17%至23%,预计会在下周推出更新软体,但这部分没有任何公开文件说明、消息相对不完整,也不清楚 Mac 系统的影响程度会是如何,但Intel强调,电脑效能是跟工作负载强度有关,就算效能降低,情况也会随时间而减缓,且一般用户更新后并不会有很明显的效能降低问题,要大家不必过度担心。
补充 Intel 回应:
Intel透过官方声明回应,自家运算装置不太有可能因为攻击导致资料用户资料损坏、修改或删除。同时强调所有运算装置都会受到类似攻击,并非Intel 产品独有缺陷。
(按:Windows、macOS 及 Linux 已发布更新修补 Meltdown 漏洞)