信息來源：百度

在即將過去的本周，科技行業(yè)中討論得最熱烈的事件就是由Intel處理器設計缺陷進而引發(fā)的一系列漏洞“漏洞”。作為2018年的首個大新聞，這次被曝出的芯片級漏洞波及范圍之廣、程度之深是我們始料未及的。而位于漩渦的中心：Intel扮演的是一個相當重要但尷尬的角色。

首先，事件的起點是Intel市售處理器被爆出因為設計的缺漏，會造成原本普通的程序卻可以擁有前所未有的高權限，甚至可以直接訪問核心內(nèi)存當中的數(shù)據(jù)，這對于用戶隱私和設備安全無疑是多年來前所未有的噩夢，而很快，漏洞迅速升級演變，研究人員稱其為“Meltdown”（熔斷）和“Spectre”（幽靈），不僅可以擁有內(nèi)核級別的高權限，潛在的危害性、影響的廣闊性、解決的棘手性都始料未及，因此這次曝光的漏洞才會鬧得沸沸揚揚。

事件起因及漏洞危害性：不修復如同赤身裸泳，修復后如同大病初愈

去年，Google旗下的Project Zero團隊發(fā)現(xiàn)了一些由CPU“預測執(zhí)行”（Speculative Execution）引發(fā)的芯片級漏洞，“Spectre”（變體1和變體2：CVE-2017-5753和CVE-2017-5715）和“Meltdown”（變體3：CVE-2017-5754），這三個漏洞都是先天性質的架構設計缺陷導致的，可以讓非特權用戶訪問到系統(tǒng)內(nèi)存從而讀取敏感信息 。Google的Project Zero研究員還發(fā)現(xiàn)每一顆1995年后發(fā)布的處理器都會受到影響。據(jù)說Google早已經(jīng)將這個漏洞反饋給Intel，并且打算在下周發(fā)布漏洞報告，但是科技媒體The Register卻在1月2號提前曝出這個漏洞，經(jīng)過其他媒體發(fā)酵后成了現(xiàn)在這個局面，到了后來Google也選擇提前發(fā)表報告以降低用戶安全風險。

一開始人們關注這個漏洞是因為說原則上說除重新設計芯片，幾乎沒有完全排除風險的機會，然而修復后會導致性能下降，這種矛盾才是引起關注的原因。但隨著部分專業(yè)人員挖掘資料的增多，發(fā)現(xiàn)影響的處理器非常廣，除包括Intel外，還包括了AMD，ARM的處理器在“黑名單”上，這意味著無論是Windows，Linux，mac系統(tǒng)抑或移動端的Android，都有潛在的安全威脅。從原理上說，這次的漏洞之所以受到那么多關注，是因為這些漏洞能讓惡意程序獲取核心內(nèi)存里存儲的敏感內(nèi)容，比如能導致黑客訪問到個人電腦的內(nèi)存數(shù)據(jù)，包括用戶賬號密碼，應用程序文件，文件緩存等。但是Intel在官方日志中單表示并不認為這些漏洞具有破壞、修改或刪除數(shù)據(jù)的潛力。目前一些報告認為這個芯片級安全漏洞的安全更新不完善，即使安裝了安全補丁也會對性能造成一定影響，特別是一些老舊的處理器。

Intel是如何向我們解釋的：沒大家想象的嚴重，已經(jīng)準備著手修復

“Meltdown”和“Spectre”會對Intel的處理器，甚至是AMD、ARM造成重大威脅，考慮到這三者的市場份額，幾乎沒有多少產(chǎn)品可以幸免。從技術角度上說，“Meltdown”利用的是處理器設計中的預測執(zhí)行特性來獲取用戶程序中的內(nèi)核數(shù)據(jù)，直接打破核心內(nèi)存的保護機制，允許惡意代碼直接訪問敏感內(nèi)存，影響了所有采用亂序執(zhí)行設計的Intel處理器，其他順序執(zhí)行的處理器不會有影響。而“Spectre”漏洞則通過篡改其他應用程序的內(nèi)存，欺騙他們?nèi)ピL問核心內(nèi)存的地址，對

云服務

提供商的威脅更大。

在事件開始發(fā)酵沒多久后Intel就發(fā)出了官方聲明，稱這些漏洞是“Intel專屬”有失偏頗，并認為無論是AMD和ARM的處理器都有相同問題，Intel自己將與AMD，ARM和多家操作系統(tǒng)供應商在內(nèi)的許多科技公司密切合作，以開發(fā)一種適應于全行業(yè)的方法以便迅速并具有建設性地解決問題。而且設備感受到的性能損失是根據(jù)工作環(huán)境決定的，普通用戶所感受到的損失其實并沒有想象的龐大。

從Intel自己的聲明中可以看出Intel無非就是想表達“問題雖然存在，但大家冷靜對待”這樣一個想法，但是事與愿違，事發(fā)后Intel的股價一度下跌超過7%，對手AMD則漲了8.8%，連NVIDIA也漲了6.3%。值得一提的是Google曾在上一年通知了Intel他們的處理器存在問題，Intel CEO Brian Krzanich沒過多久（大概在2017年11月底）就拋售了手上持有的大量股票（現(xiàn)在剩下25萬股，雇傭協(xié)議的最低要求），這些股票價值2400萬美元，現(xiàn)在看來他真是很有先見之明，怪不得能當CEO。

AMD對于Intel聲明的反擊：我們的東西幾乎沒問題

AMD對自己出現(xiàn)在Intel的官方聲明上有點不滿，在Intel官方發(fā)表聲明沒多久后就予以反擊，AMD官方表示因為芯片架構的設計不同，AMD的產(chǎn)品在安全危機和性能衰減兩個問題面前都有樂觀很多，首先“Spectre”可通過軟件和操作系統(tǒng)補丁進行修復，幾乎不會對性能造成影響，并且因為架構不同，“Meltdown”不會對AMD的處理器造成任何影響，可以說這次曝出的漏洞和AMD只是插肩而過，而不是迎面撞上。

在AMD官網(wǎng)上發(fā)表了一篇聲明：Information Security is a Priority at AMD，即“信息安全是AMD的重中之重”，文章表示三個漏洞中有兩個的攻擊原理和AMD幾乎是絕緣的，完全對AMD沒有用。而另一種攻擊可由安全補丁修復，而且在最重要的性能損失方面，AMD表示將會非常輕微。

原文我們是以為漏洞是Intel獨占的，后來形式惡化到可以滲透AMD的處理器，再后來這三個漏洞甚至也影響到ARM的Cortex系列處理器，ARM在他們的開發(fā)者博客上列出了受影響的Cortex型號，表示現(xiàn)在和將來的ARM處理器都會提供補丁更新防止惡意應用程序攻擊。目前包括Intel，AMD，ARM，微軟，亞馬遜，Google，蘋果均已表示修復補丁不會對性能造成太大影響。

具體信息可瀏覽覽ARM官方博客

關于修復補丁是否會對性能造成影響？云服務廠商是這么說的

1月3號Intel在其官網(wǎng)上列出了所有受CVE-2017-5715漏洞影響的處理器，這份列表顯示了即使是8年前的45nm Core i7都有問題，而且Intel再一次強調(diào)無論是AMD和ARM都有類似問題。性能是玩家最關心的一個問題，大部分的報道都稱修復后會降低處理器性能，所以才會導致這么熱烈的討論。比如Linux系統(tǒng)，在修復后性能之所以會降低時因為KPTI補丁雖然會阻止非特權用戶代碼識別內(nèi)核的虛擬地址（把內(nèi)核放入了獨立的地址中），但程序在需要利用到內(nèi)核切換地址時會導致性能下降，對于Intel的處理器來說影響性能會在5%到30%左右，某些測試會有50%的性能損失。

針對“Meltdown”，Linux已經(jīng)發(fā)布了上面提到的KPTI補丁，macOS也從10.13.2中修復，Google則敦促用戶將他們的Android和Chromebook設備到最新的版本，Android用戶必須安裝2018年1月的安全補丁。至于最多人用的Windows系統(tǒng)，微軟已經(jīng)緊急發(fā)布了修復補丁KB4056892，面向Windows 10/8.1/7用戶?！癝pectre”就比較棘手了，到現(xiàn)在還在開發(fā)補丁中，有鑒于這個事件的影響范圍如此大，Intel也會自覺快馬加鞭聯(lián)合各個廠商推出安全補丁。

Intel今天發(fā)表了兩則安全聲明，其中一則是推出更新保護系統(tǒng)免受漏洞攻擊，到下周末，Intel預計會為過去5年內(nèi)的90%產(chǎn)品提供補丁更新；另一則就是說明了蘋果，微軟，亞馬遜和Google的測試結果表明更新不會對性能造成太大影響。

國內(nèi)廠商也是這些漏洞的受害者，比如騰訊已經(jīng)針對這次事件發(fā)出聲明，會通過熱升級技術對平臺進行修復，以下是騰訊云平臺安全升級通知全文：

“近日，英特爾處理器被爆存在嚴重芯片級安全問題，為解決該安全問題，騰訊云將于北京時間2018年1月10日凌晨01:00-05:00通過熱升級技術對硬件平臺和虛擬化平臺進行后端修復，期間客戶業(yè)務不會受到影響。對于極少量不支持熱升級方式的服務器，騰訊云另行安排時間手動重啟修復，這部分服務器騰訊云安全團隊將會另行進行通知，協(xié)商升級時間，建議用戶確保預留聯(lián)系方式暢通（手機、郵箱），同時提前準備數(shù)據(jù)備份方案和業(yè)務維護預案?！?

面對這次的漏洞，除了上述的騰訊云外，諸如華為，阿里，金山，微軟，京東，百度等服務商對準備或已經(jīng)啟動應急措施推進漏洞修復。

消費者的表態(tài)：隱私和性能如何選擇？

這次事件的嚴重性比此前的勒索病毒更大，涉及了幾乎所有使用Intel處理器的用戶，從Intel的聲明中雖然看出Intel已經(jīng)盡全力做補救措施，但也說明了我們這些用戶的隱私幾乎沒任何保障，如果再有類似事件發(fā)生，一旦黑客的攻擊成功，后續(xù)的補救工作也很難挽回用戶的利益。在各大論壇網(wǎng)站中，有部分用戶對Intel的態(tài)度似乎都是比較消極的，因為無論是否進行了安全更新，他們都認為自己的利益受到損害，也有部分樂觀的用戶認為這個漏洞對自己根本沒影響。

臨淵羨魚不如退而結網(wǎng)：我們以后該怎么辦？

如果你比較注重自己的隱私安全，那么你最好積極安裝來自微軟，蘋果或Google等廠商的安全更新。除了被動接受更新外，我們也要注意自己的PC使用習慣，像AMD所說的那樣不要點擊來路不明的連接，執(zhí)行強密碼協(xié)議，使用安全網(wǎng)絡和定期接受安全軟件更新等。

從目前的情況來看，AMD的處理器對這兩個漏洞的免疫性比Intel好，如果近期有裝機打算又注重個人隱私的話，買AMD的處理器也是個不錯的選擇。相信經(jīng)過了這次事件，未來的Intel處理器也會在架構上重新設計，徹底封堵這一漏洞，而Android手機用戶就要多加留意廠商近期推送的更新了。

這次的漏洞事件可能只是個開端，我們還會對這次的事件進行跟蹤報道。

不想看這么多字的，看下面一圖看懂吧：