英特爾芯片漏洞影響幾何

新華社美國拉斯維加斯１月９日電 新聞分析：英特爾芯片漏洞影響幾何

新華社記者郭爽　林小春　周舟

近期曝出的英特爾芯片存安全漏洞事件因波及范圍廣而備受關注。那么，此次事件除了影響英特爾公司業績外，還會造成怎樣的影響？

攻擊門檻較高　打補丁影響性能

英特爾公司首席執行官布賴恩·克爾扎尼奇８日在拉斯維加斯消費電子展開場主旨演講中對芯片漏洞回應說，英特爾及業界其他廠商迄今均未獲知任何基于這些潛在風險的惡意軟件。普通用戶確保自己數據安全的“最好方法”就是在系統提供更新補丁時及時安裝。到本周末，英特爾發布的更新補丁預計將覆蓋過去５年內推出的９０％以上處理器產品，其余產品的補丁將于１月底前發布。

對芯片漏洞的危害性，英特爾法律政策部副總裁王洪彬接受新華社記者采訪時說：“這是在極端情況下測試出來的。在極端情況下，這些潛在的攻擊被用于惡意目的時，有可能不當地收集敏感數據，但不會損壞、修改或刪除數據。”

王洪彬說，惡意軟件要利用相關漏洞來危害系統安全“必須在本地系統中運行”，也就是說，相關漏洞“攻擊門檻很高、很難被利用”。

不過，網絡安全專家警告，使用云計算服務的企業可能尤其容易受到襲擊。如果攻擊者付費后得以進入這種服務的某個領域，他們有可能獲得其他客戶的信息，盡管目前還沒有發現此類襲擊。

美國國土安全部在一份聲明中說，目前未發現“利用”這些漏洞的行為。聲明還指出，打安全補丁是解決漏洞最好的保護辦法，但打補丁后電腦性能可能下降多達３０％，并且芯片漏洞是由中央處理器（ＣＰＵ）架構而非軟件引起，所以打補丁并不能徹底解決芯片漏洞。

美國卡內基－梅隆大學的一個安全研究也小組認為，徹底消除這些致命缺陷的唯一辦法是更換硬件，更新操作系統只能“緩解”一些問題。

美國石英財經網站等媒體日前也披露，英特爾漏洞的修補過程可能導致全球個人電腦單機和聯網性能下降。對此，英特爾公司９日發表聲明承認，給芯片安全漏洞打補丁讓使用其第八代“酷睿”處理器的電腦性能降低約６％。

微軟公司當天也發布了最新性能影響評估結果，認為“幽靈”變種１和“崩潰”兩個漏洞的補丁幾乎不影響性能，但給“幽靈”變種２打補丁確實影響性能，但這些影響都是毫秒級，多數用戶無法覺察。

不過，對使用２０１５年或之前的Ｈａｓｗｅｌｌ等老處理器架構的“視窗８”或“視窗７”電腦，一些基準測試顯示出“更明顯的減速”，且微軟認為“一些用戶將會注意到系統性能的降低”。

隱患不止英特爾　業界補救緊鑼密鼓

事實上，這一安全問題并非近期才發生，涉及芯片也遠不止英特爾。谷歌公司旗下“零點項目”安全研究者團隊最早于２０１７年發現了問題所在。

“零點項目”是２０１４年７月由谷歌啟動的互聯網安全項目，成員主要由谷歌內部頂尖安全工程師組成，專門負責找出網絡系統安全漏洞。２０１７年，該團隊發現了３種由中央處理器底層架構采用“推測性執行”方法引發的攻擊方式，將其中兩種命名為“崩潰”，另一種命名為“幽靈”。

“零點項目”說，這些芯片級漏洞可以讓非特權用戶訪問到系統內存，從而讀取敏感信息。當這些漏洞被用于惡意目的時，可能會有從計算設備中收集敏感數據的潛在風險。

２０１７年６月，“零點項目”向英特爾、美國超威半導體（ＡＭＤ）、英國阿姆控股（ＡＲＭ）等芯片廠商通報了這些漏洞的情況。英特爾和超威芯片廣泛應用于個人電腦和服務器上，而阿姆是安卓系統智能手機、平板電腦芯片的主要設計者。

２０１７年下半年，又有美國賓夕法尼亞大學、馬里蘭大學、奧地利格拉茨技術大學、澳大利亞阿德萊德大學等機構的其他幾位研究者獨立發現了上述攻擊方法。對于他們的發現，這些研究者同意在“零點項目”和產業界協商的２０１８年１月９日披露時間點前予以保密。

１月３日，美國科技媒體《紀事》搶先披露了這一芯片安全問題。隨后，“零點項目”緊急公布了研究結果，英特爾發布了產品說明、受影響處理器清單等信息。超威半導體也已通過官方聲明承認部分處理器存在安全漏洞。阿姆控股也表示，許多采用該公司Ｃｏｒｔｅｘ架構的處理器存在安全漏洞。

據介紹，這一架構技術被廣泛用于采用安卓和ｉＯＳ操作系統的設備、部分英偉達圖睿和高通驍龍芯片以及索尼ＰＳＶ游戲機等產品上。高通表示正在修復安全漏洞，但未指明受影響芯片。

目前，谷歌、亞馬遜、微軟等科技巨頭紛紛采取應對行動。谷歌表示，該公司許多產品受漏洞威脅的可能性已降低。

對于這一廣泛波及全球行業和用戶的安全事件，中國國家信息安全漏洞共享平臺４日發出安全預警，提示公眾操作系統廠商已發布補丁更新，建議用戶及時下載補丁進行更新，并建議廣大用戶密切跟蹤該安全隱患的最新情況，對芯片廠商、操作系統廠商和安全廠商等發布的補丁及時跟蹤測試，在做好全面審慎的評估工作基礎上，制定修復工作計劃，及時安裝。（參與記者張瑩）