近日,外媒 The Rigister 報(bào)道,安全研究人員發(fā)現(xiàn),英特爾處理器底層設(shè)計(jì)上存在重大漏洞,研究人員將他們稱作“Meltdown(熔斷) ”和“Spectre(幽靈)”,當(dāng)這些軟件分析方法被用于惡意目的時(shí),有可能會(huì)有從許多搭載不同廠商的處理器和操作系統(tǒng)的多種類型的計(jì)算設(shè)備中收集敏感數(shù)據(jù)的潛在風(fēng)險(xiǎn)。意味著 Linux 和 Windows 的內(nèi)核需要被大幅度重新設(shè)計(jì),以解決這次的芯片級(jí)安全漏洞。
最近的報(bào)道還稱,這些破壞是由“漏洞”或“缺陷”造成的,并且是英特爾產(chǎn)品所獨(dú)有的。事實(shí)上,這種說(shuō)法有失偏頗,其它供應(yīng)商的處理器和操作系統(tǒng)也會(huì)有這個(gè)問題。英特爾在聲明中表示,根據(jù)迄今的分析,許多類型的計(jì)算設(shè)備(有來(lái)自許多不同供應(yīng)商的處理器和操作系統(tǒng))都會(huì)容易受到類似攻擊。雖然AMD發(fā)表聲明否認(rèn),但實(shí)際上AMD也會(huì)受到影響。
據(jù)了解,英特爾與業(yè)內(nèi)其他合作伙伴正共同攜手防御本周三通報(bào)的潛在攻擊隱患,業(yè)界也展開了廣泛的測(cè)試,以評(píng)估近期發(fā)布的安全更新對(duì)系統(tǒng)性能的影響。蘋果、亞馬遜、谷歌和微軟都已評(píng)估并表示,該安全更新對(duì)性能影響很小甚至沒有影響。
具體測(cè)試結(jié)果包括:
蘋果:“我們的GeekBench 4基準(zhǔn)測(cè)試以及Speedometer、JetStream和ARES-6等常見的Web瀏覽基準(zhǔn)測(cè)試表明,2017年12月的更新沒有顯著降低macOS和iOS設(shè)備的性能!
微軟:“絕大多數(shù)Azure客戶不會(huì)感受到此次更新對(duì)性能的影響。我們已經(jīng)優(yōu)化了CPU和磁盤I/O路徑,在采納更新后沒有看到對(duì)性能產(chǎn)生明顯的影響。”
亞馬遜:“我們沒有觀察到這對(duì)絕大多數(shù)EC2工作負(fù)載的性能有產(chǎn)生實(shí)際的影響!
谷歌:“在包括云基礎(chǔ)設(shè)施在內(nèi)的大多數(shù)工作負(fù)載上,我們看到對(duì)性能的影響可以忽略不計(jì)!
360 官方也表示,雖然漏洞影響范圍極廣,但漏洞本身的危害卻并不十分嚴(yán)重,此前也沒有任何已知的利用這些漏洞進(jìn)行攻擊的案例被發(fā)現(xiàn)。攻擊者雖可利用該漏洞竊取隱私,但無(wú)法控制電腦、提升權(quán)限或者突破虛擬化系統(tǒng)的隔離。
據(jù)悉,英特爾已經(jīng)為基于英特爾芯片的各種計(jì)算機(jī)系統(tǒng)(包括個(gè)人電腦和服務(wù)器)開發(fā)了更新,并且正在快速發(fā)布這些更新,以保護(hù)這些系統(tǒng)免受谷歌Project Zero所報(bào)告的兩種潛在攻擊隱患(被稱為Spectre和Meltdown)。英特爾與其產(chǎn)業(yè)伙伴在部署軟件補(bǔ)丁和固件更新方面已取得重要進(jìn)展。另外,雖然大多數(shù)普通 PC 用戶不會(huì)因此受到影響,但這批補(bǔ)丁會(huì)帶來(lái) 0% 到 30% 之間的性能降級(jí)。
英特爾在聲明中表示,英特爾已經(jīng)針對(duì)過(guò)去5年中推出的大多數(shù)處理器產(chǎn)品發(fā)布了更新。到下周末,英特爾發(fā)布的更新預(yù)計(jì)將覆蓋過(guò)去5年內(nèi)推出的90%以上的處理器產(chǎn)品。此外,許多操作系統(tǒng)供應(yīng)商、公共云服務(wù)提供商、設(shè)備制造商和其他廠商也表示,他們正在或已對(duì)其產(chǎn)品和服務(wù)提供更新。
英特爾指出,這些更新對(duì)不同工作負(fù)載的性能影響會(huì)有不同。對(duì)于一般的計(jì)算機(jī)用戶來(lái)說(shuō),影響并不顯著,而且會(huì)隨著時(shí)間的推移而減輕。雖然對(duì)于某些特定的工作負(fù)載,軟件更新對(duì)性能的影響可能一開始相對(duì)較高,但隨著采取進(jìn)一步后續(xù)的優(yōu)化工作,包括更新部署后的識(shí)別、測(cè)試和軟件更新改進(jìn),應(yīng)該可以減輕這種影響。
這些系統(tǒng)更新程序可通過(guò)系統(tǒng)制造商、操作系統(tǒng)提供商和其他相關(guān)廠商獲得。