這幾天，Intel 的日子不大好過(guò)。

一場(chǎng)由外媒 Theregister 曝光出來(lái)的芯片級(jí)漏洞事件持續(xù)發(fā)酵，Intel 首當(dāng)其沖。目前來(lái)看，這一漏洞可能影響到幾乎所有的計(jì)算機(jī)、服務(wù)器、智能手機(jī)等設(shè)備，涉及到 Intel、AMD、ARM 等半導(dǎo)體巨擘以及微軟、蘋果、亞馬遜、Google 等世界級(jí)科技巨頭?？梢哉f(shuō)，這是到目前為止影響范圍最廣泛的漏洞。

這簡(jiǎn)直是一次史詩(shī)級(jí)的漏洞。

到底是什么情況？

這次漏洞事件的罪魁禍?zhǔn)?，主要是兩個(gè) CPU 安全漏洞，分別被命名為 Meltdown（熔斷）和 Spectre（幽靈）。這兩組漏洞利用 CPU 中的 Speculative Execution（推測(cè)執(zhí)行），通過(guò)用戶層面應(yīng)用從 CPU 內(nèi)存中讀取核心數(shù)據(jù)。

其中，Meltdown 影響范圍包括 1995 年之后的所有 Intel CPU 型號(hào)（除了 2013 年之前生產(chǎn)的 Intel 安騰和 Atom 系列）；而 Specture 則能夠影響幾乎所有來(lái)自 Intel 和 AMD 的 CPU 型號(hào)，以及 ARM 旗下的一些 CPU 型號(hào)。

理論上，幾乎所有的處理器和操作系統(tǒng)都會(huì)被涉及到。

據(jù)雷鋒網(wǎng)了解，這次漏洞由 Google 的 Project Zero 團(tuán)隊(duì)在去年發(fā)現(xiàn)，后來(lái) Google 向 Intel 發(fā)出了警告。而 Intel 方面表示原本計(jì)劃在下周推出軟件補(bǔ)丁時(shí)披露該漏洞，但因?yàn)槊襟w的廣泛報(bào)道，所以不得不提前發(fā)布聲明。

由于牽涉范圍太廣，除了 Intel，包括微軟、Google、蘋果多內(nèi)的多家公司紛紛針對(duì)這一漏洞做出了反應(yīng)，并發(fā)布了相關(guān)聲明。雷鋒網(wǎng)無(wú)意于從技術(shù)角度探討這場(chǎng)漏洞發(fā)生的原因，僅從用戶的角度出發(fā)，來(lái)看看這些公司的做法與說(shuō)法。

Intel

作為本次漏洞受牽連最大的一家公司，Intel 的回應(yīng)比較多，也比較急切。

1 月 3 日，針對(duì)漏洞問(wèn)題，Intel CEO Brian Krzanich 率先回應(yīng)稱：

我們不可能逐一檢查所有系統(tǒng)。但由于這個(gè)漏洞很難利用，必須進(jìn)入系統(tǒng)，還要進(jìn)入內(nèi)存和操作系統(tǒng)，所以從目前的調(diào)查來(lái)看，我們對(duì)于該漏洞尚未被利用很有信心…… 系統(tǒng)一直按照既有方式運(yùn)行，符合系統(tǒng)的構(gòu)建和設(shè)計(jì)方式……（黑客）無(wú)法借助這個(gè)漏洞對(duì)數(shù)據(jù)進(jìn)行任何修改和刪除，不能通過(guò)這一流程對(duì)數(shù)據(jù)展開任何操作。所以從這個(gè)角度來(lái)講，這并不是缺陷。

Krzanich 表示科技行業(yè)已經(jīng)展開了數(shù)個(gè)月的合作來(lái)解決這個(gè)問(wèn)題，由此可見(jiàn) Intel 很早就知道這個(gè)漏洞的存在了，只是一直未披露。Krzanich 還表示 Intel 正在開發(fā)軟件解決方案，今后還將對(duì)硬件進(jìn)行調(diào)整，預(yù)計(jì)最早下周初向廠商提供解決方案。

1 月 4 日，Intel 針對(duì)漏洞問(wèn)題發(fā)布官方聲明，雷鋒網(wǎng)從官方聲明提取出以下重點(diǎn)：

• Intel 認(rèn)為這些漏洞不會(huì)損壞、修改或刪除數(shù)據(jù)。

• 這些“安全缺陷”不是 Intel 獨(dú)有，其他供應(yīng)商的處理器和操作系統(tǒng)都有，比如“AMD、ARM控股和多個(gè)操作系統(tǒng)供應(yīng)商”。

• 之前，大家認(rèn)為這些漏洞幾乎影響所有電腦、服務(wù)器和云操作系統(tǒng)，也可能影響手機(jī)和其他設(shè)備。但 Intel 表示，與早期的報(bào)告相反，對(duì)于大多數(shù)用戶來(lái)說(shuō)，性能影響應(yīng)該不太大。

1 月 4 日，Intel 再次發(fā)布聲明稱，已經(jīng)為基于 Intel 芯片的各種計(jì)算機(jī)系統(tǒng)（個(gè)人電腦和服務(wù)器）開發(fā)了更新，并且正在快速發(fā)布這些更新；這些更新程序可以通過(guò)系統(tǒng)制造商、操作系統(tǒng)提供商和其他相關(guān)廠商獲得。

Intel 方面還表示與其他產(chǎn)業(yè)伙伴在部署軟件補(bǔ)丁和固件更新方面已經(jīng)取得重要進(jìn)展。

ARM

ARM 在 1 月 3 日回應(yīng)稱：

ARM 已經(jīng)在與 Intel 和 AMD 合作進(jìn)行分析。在一些特定的高端處理器中會(huì)出現(xiàn) Speculative execution 被利用的情況，包括我們的一部分 Cortex-A 處理器；在可能出現(xiàn)的利用過(guò)程中，惡意軟件將會(huì)在本地運(yùn)行并導(dǎo)致內(nèi)存的數(shù)據(jù)被獲取。需要聲明的是，我們開發(fā)的用于 IoT 的高性能低功耗 Cortex-M 處理器，將不受此影響。

ARM 還表示，正在鼓勵(lì)可能受到影響的半導(dǎo)體合作伙伴提供軟件防護(hù)措施。

AMD

1 月 3 日，AMD 聲明稱：

事實(shí)上，安全研究小組確定了三個(gè)預(yù)測(cè)執(zhí)行的版本。各個(gè)公司對(duì)這三種版本的威脅和反應(yīng)各不相同，AMD 不容易受到這三種版本的影響，由于 AMD 架構(gòu)不同，我們認(rèn)為，AMD 處理器目前幾乎沒(méi)有風(fēng)險(xiǎn)。

AMD 還聲稱安全研究將在當(dāng)日晚些時(shí)候發(fā)布，并在彼時(shí)提供更多的更新。

微軟

在漏洞事件曝光后，微軟針對(duì) Windows 10 發(fā)布了一個(gè)特殊修復(fù)包，并正在針對(duì) Windows 7 和 Windows 8 進(jìn)行了更新。

同時(shí)，微軟聲明稱：

我們了解到這一影響整個(gè)行業(yè)的問(wèn)題，而且與芯片廠商展開了密切的合作，開發(fā)和測(cè)試緩解這一問(wèn)題的方案，以保護(hù)我們的用戶。同時(shí)，我們正在向云服務(wù)部署解決方案，并向 Windows 用戶發(fā)布了安全更新，以防止 Intel、ARM 和 AMD 等公司的芯片受到漏洞的侵?jǐn)_。

微軟方面還表示，目前還沒(méi)有收到任何關(guān)于利用該漏洞攻擊用戶的消息。

Google

在發(fā)現(xiàn)漏洞并針對(duì)旗下的產(chǎn)品提供保護(hù)措施方面，Google 做得最多。

在媒體曝光了這次漏洞信息之后，Google 的 Project Zero 團(tuán)隊(duì)在 1 月 3 日發(fā)表了關(guān)于這次漏洞具體情況的博客，證明漏洞牽涉范圍包括 Intel、AMD 和 ARM。

在此之前不久，Google 安全團(tuán)隊(duì)發(fā)表博客稱，在發(fā)現(xiàn)漏洞之后，針對(duì)漏洞可能引發(fā)的安全問(wèn)題，Google 安全和產(chǎn)品開發(fā)團(tuán)隊(duì)就已經(jīng)通過(guò)系統(tǒng)和產(chǎn)品更新來(lái)保護(hù) Google 系統(tǒng)和用戶數(shù)據(jù)的安全，并與行業(yè)里的軟硬件合作來(lái)保護(hù)用戶信息和 Web 安全。

Google 在博客中詳細(xì)列出了旗下產(chǎn)品的情況，其中重要的如下：

• 面向 Android，Google 已經(jīng)在 2017 年 12 月面向手機(jī)廠商發(fā)布了安全補(bǔ)丁包，它面向所有基于 ARM 的處理器（比如說(shuō)高通驍龍系列，華為麒麟系列，三星 Exynos 系列等）；

• Google Apps/G Suite 不受影響；

• Google Chrome 瀏覽器穩(wěn)定版需要打開 Site Isolation 功能，而 Google 將在 1 月 23 日發(fā)布 Chrome 64，后者將包含保護(hù)功能；

• Chrome OS 包含上述 Chrome 瀏覽器的內(nèi)容；從 2017 年 12 月 15 日起，Google 正在推送 Chrome OS 63 更新，不過(guò)一些早期的 Chrome OS 設(shè)備可能不會(huì)更新。

• Google Home、Google Chromecast、Google Wifi、Google OnHub 等產(chǎn)品不受影響。

除此之外，針對(duì)使用 Google Cloud 云服務(wù)的各個(gè)部分，Google 也提供了非常詳盡的說(shuō)明和可能需要的應(yīng)對(duì)措施，詳見(jiàn) Google 安全博客內(nèi)容。Google 方面還表示，將繼續(xù)針對(duì)這些漏洞進(jìn)行工作，并將會(huì)在產(chǎn)品支持頁(yè)面進(jìn)行更新。

蘋果

1 月 4 日，針對(duì)這次漏洞，蘋果發(fā)表稱，這次的問(wèn)題影響到所有的現(xiàn)代處理器以及幾乎所有的計(jì)算設(shè)備和操作系統(tǒng)，因此 Mac 系統(tǒng)和 iOS 設(shè)備也不例外，不過(guò)目前還沒(méi)有關(guān)于利用這些漏洞對(duì)消費(fèi)者造成影響的情況。

蘋果表示，要想利用這些漏洞，需要通過(guò) Mac 和 iOS 設(shè)備上的應(yīng)用來(lái)進(jìn)行，因此建議用戶從包括 App Store 這樣的可信渠道下載應(yīng)用。

針對(duì) Meltdown，蘋果在 iOS 11.2 & macOS 10.13.2 & tvOS 11.2 中加入了保護(hù)措施，Apple Watch 不受影響。而針對(duì) Specture，蘋果表示將于未來(lái)幾周在 Safari 瀏覽器中發(fā)布更新來(lái)對(duì)抗。

另外，蘋果還表示，未來(lái)將會(huì)在 iOS、macOS、tvOS 和 watch OS 的系統(tǒng)更新中提供更多的防護(hù)措施。

亞馬遜

這次漏洞對(duì)亞馬遜的波及主要在 AWS 云服務(wù)方面，亞馬遜在 1 月 3 日發(fā)表聲明稱：

這是一個(gè)已經(jīng)存在了 20 余年的漏洞，包括來(lái)自 Intel AMD 和 ARM 的現(xiàn)代處理器架構(gòu)都存在這個(gè)漏洞，并覆蓋到服務(wù)器、桌面設(shè)備和移動(dòng)設(shè)備。

截止到 1 月 4 日，亞馬遜方面表示已經(jīng)保護(hù)了幾乎所有的亞馬遜 EC2 網(wǎng)絡(luò)服務(wù)，但客戶仍然需要更新來(lái)自微軟、Linux 等的操作系統(tǒng)來(lái)修補(bǔ)這些漏洞。

其實(shí)無(wú)需恐慌

以這次漏洞波及的范圍之廣，的確是世所罕見(jiàn)的。雖然 Intel、Google、微軟、蘋果等都在采取相應(yīng)的安全措施，還是有不少用戶在擔(dān)心自己的隱私問(wèn)題。

為此，雷鋒網(wǎng)采訪了 360 安全中心的相關(guān)專家，得到的結(jié)論是：

雖然影響范圍極廣，但漏洞本身的危害卻并不十分嚴(yán)重，前也沒(méi)有任何已知的利用這些漏洞進(jìn)行攻擊的案例被發(fā)現(xiàn)。攻擊者雖可利用該漏洞竊取隱私，但無(wú)法控制電腦、提升權(quán)限或者突破虛擬化系統(tǒng)的隔離。此外，該漏洞不能被遠(yuǎn)程利用，更無(wú)法像“永恒之藍(lán)”漏洞一樣，在用戶沒(méi)有任何交互操作時(shí)就實(shí)現(xiàn)攻擊。

也就是說(shuō)，只要用戶正常使用，并及時(shí)安裝官方推送的相關(guān)安全補(bǔ)丁，問(wèn)題就不會(huì)太大。

不過(guò)，360 方面告訴我們，要想修復(fù)這一漏洞，難度是很大的。因?yàn)檫@一漏洞是 CPU 硬件層面的，僅僅通過(guò) CPU 廠商的安全更新是無(wú)法解決問(wèn)題的；它需要操作系統(tǒng)廠商、虛擬化廠商、軟硬件分銷商、瀏覽器廠商、CPU 廠商等一起協(xié)作并進(jìn)行深入修改才能夠徹底解決問(wèn)題。

眼下來(lái)看，用戶要做的就是打上必要的安全補(bǔ)丁，并避免在設(shè)備上安裝惡意軟件。對(duì)于這一漏洞的后續(xù)處理情況，雷鋒網(wǎng)將保持關(guān)注。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。