今年新年剛過，爆出了幾乎席卷整個(gè)IT產(chǎn)業(yè)的芯片漏洞事件，讓人們剛剛放松的神經(jīng)緊張起來。

　　根據(jù)國(guó)內(nèi)外媒體的披露，事件的來龍去脈是這樣的：2017年，Google旗下的ProjectZero團(tuán)隊(duì)發(fā)現(xiàn)了一些由CPU Speculative Execution引發(fā)的芯片級(jí)漏洞，“Spectre”（變體1和變體2：CVE-2017-5753和CVE-2017-5715）和“Meltdown”（變體3：CVE-2017-5754），這三個(gè)漏洞都是先天性質(zhì)的架構(gòu)設(shè)計(jì)缺陷導(dǎo)致的，可以讓非特權(quán)用戶訪問到系統(tǒng)內(nèi)存從而讀取敏感信息。

　　Project Zero安全團(tuán)隊(duì)的一名成員在2017年6月1日向英特爾和其他芯片生產(chǎn)商告知了這些漏洞的情況。而直到2018年1月2日，科技媒體The Register在發(fā)表的一篇文章中曝光了上述CPU漏洞，才讓芯片安全漏洞問題浮出水面，也讓英特爾陷入一場(chǎng)突如其來的危機(jī)。

　　芯片安全漏洞爆出后，引起了媒體和業(yè)界的廣泛關(guān)注：不但將在CPU上市場(chǎng)份額占絕對(duì)優(yōu)勢(shì)的英特爾拋到輿論漩渦中，也引起大家對(duì)安全問題的擔(dān)憂。

　　人們不禁要問，芯片漏洞問題早已發(fā)現(xiàn)，為什么到現(xiàn)在才被公布？是英特爾有意隱瞞嗎？

　　延期公布，為應(yīng)對(duì)方案贏得了時(shí)間

　　從媒體披露的情況來看，1995年以來大部分量產(chǎn)的處理器均有可能受上述漏洞的影響，且涉及大部分通用操作系統(tǒng)。雖然是以英特爾為主，但ARM、高通、AMD等大部分主流處理器芯片也受到漏洞影響，IBM POWER細(xì)節(jié)的處理器也有影響。采用這些芯片的Windows、Linux、macOS、Android等主流操作系統(tǒng)和電腦、平板電腦、手機(jī)、云服務(wù)器等終端設(shè)備都受上述漏洞的影響。應(yīng)該說，這是跨廠商、跨國(guó)界、跨架構(gòu)、跨操作系統(tǒng)的重大漏洞事件，幾乎席卷了整個(gè)IT產(chǎn)業(yè)。

　　《華爾街日?qǐng)?bào)》報(bào)道稱，Project Zero安全團(tuán)隊(duì)在2017年6月1日向英特爾和其他芯片生產(chǎn)商告知漏洞情況后，在7個(gè)月時(shí)間里，英特爾一直在努力聯(lián)合其他主流芯片廠商、客戶、合作伙伴，包括蘋果、谷歌、亞馬遜公司和微軟等在加緊解決這一問題，一個(gè)由大型科技公司組成的聯(lián)盟正展開合作，研究并準(zhǔn)備應(yīng)對(duì)方案。

　　據(jù)消息人士透露，該聯(lián)盟成員之間達(dá)成了保密協(xié)議，延遲公開，研究開發(fā)解決方案，確保公布漏洞后“準(zhǔn)備就緒”。該消息人士還稱，原計(jì)劃1月9日公開，而由于科技媒體The Register在1月2日就曝光了芯片漏洞問題，導(dǎo)致英特爾等公司提前發(fā)布了相關(guān)公告。

　　在芯片漏洞曝光后的第二天，1月3日英特爾公布了最新安全研究結(jié)果及英特爾產(chǎn)品說明，公布受影響的處理器產(chǎn)品清單。

　　1月4日，英特爾宣布，與其產(chǎn)業(yè)伙伴在部署軟件補(bǔ)丁和固件更新方面已取得重要進(jìn)展：英特爾已針對(duì)過去5年中推出的大多數(shù)處理器產(chǎn)品發(fā)布了更新，到這個(gè)周末，發(fā)布的更新預(yù)計(jì)將覆蓋過去5年內(nèi)推出的90%以上的處理器產(chǎn)品。

　　隨后，微軟、谷歌以及其他一些大型科技公司相繼發(fā)布關(guān)于漏洞的應(yīng)對(duì)方案，表示他們正在或已對(duì)其產(chǎn)品和服務(wù)提供更新。

　　■微軟發(fā)布了一個(gè)安全更新程序，以保護(hù)使用英特爾和其他公司芯片的用戶設(shè)備。

　　■蘋果確認(rèn)所有的Mac系統(tǒng)和iOS設(shè)備都受到該漏洞影響，但已發(fā)布防御補(bǔ)丁。

　　■谷歌表示，漏洞問題影響到英特爾、AMD和ARM的芯片，并稱其已更新了大部分系統(tǒng)和產(chǎn)品，增加了防范攻擊的保護(hù)措施。

　　■高通表示，針對(duì)受到近期曝光的芯片級(jí)安全漏洞影響的產(chǎn)品，正在開發(fā)安全更新。

　　有網(wǎng)絡(luò)安全專家認(rèn)為，雖然漏洞影響范圍廣泛，對(duì)于普通用戶來說，大可不必過于恐慌，但受影響最大的主要是云服務(wù)廠商。而主要的云服務(wù)廠商已公布了應(yīng)對(duì)方案和時(shí)間表。

　　亞馬遜 AWS的技術(shù)部門的服務(wù)人員回復(fù)稱新的服務(wù)器默認(rèn)已經(jīng)有補(bǔ)丁，不會(huì)有影響

　　阿里云 在1月12日凌晨1點(diǎn)采用熱升級(jí)的方式進(jìn)行虛擬化底層的更新。

　　騰訊云 在1月10日凌晨01：00~05：00通過熱升級(jí)技術(shù)對(duì)硬件平臺(tái)和虛擬化平臺(tái)進(jìn)行后端修復(fù)，對(duì)于極少量不支持熱升級(jí)方式的服務(wù)器，騰訊云安全團(tuán)隊(duì)將會(huì)另行進(jìn)行通知。

　　百度云 在虛擬機(jī)和物理機(jī)兩個(gè)層面進(jìn)行修復(fù)工作，并于2018年1月12日零點(diǎn)進(jìn)行熱修復(fù)升級(jí)。

　　華為云 正在對(duì)漏洞進(jìn)行分析，跟進(jìn)主流操作系統(tǒng)發(fā)布補(bǔ)丁的情況，截至目前，尚未監(jiān)測(cè)到有針對(duì)此漏洞的攻擊程序。

　　AI商業(yè)認(rèn)為，幸好不是漏洞一發(fā)現(xiàn)就公布，否則，在沒有應(yīng)對(duì)方案出來的時(shí)候就公布，會(huì)引起更大的安全擔(dān)憂或恐慌。而延遲到現(xiàn)在公布漏洞，英特爾、微軟等主要廠商已做好充足的準(zhǔn)備，相繼發(fā)布了補(bǔ)丁和更新方案。

　　芯片漏洞堪比“千年蟲”，需要大家“在一起”

　　在整個(gè)IT發(fā)展史上，隨著技術(shù)發(fā)展所暴露出來的計(jì)算機(jī)軟件或設(shè)計(jì)漏洞可以說是一種難以避免的現(xiàn)象。因?yàn)?，技術(shù)在發(fā)展，黑客技術(shù)也在不斷發(fā)展，多年前沒發(fā)現(xiàn)存在漏洞，多年后就可能發(fā)現(xiàn)存在漏洞。“你信或不信，漏洞可能就在那里，只是還沒人能夠發(fā)現(xiàn)”。

　　而一旦漏洞被發(fā)現(xiàn)，只有積極應(yīng)對(duì)解決，才能避免損失，防患于未然。芯片是整個(gè)信息系統(tǒng)的“心臟”和核心。解決這種芯片級(jí)的、前所未有的，涉及面極廣的、高危級(jí)別的重大安全漏洞，難度系數(shù)可想而知！

　　這已不是芯片領(lǐng)頭廠商英特爾一家可以解決的，也不只是英特爾、ARM、AMD等芯片廠商應(yīng)該積極應(yīng)對(duì)的問題。而且，根據(jù)英特爾、微軟等廠商公布的信息看，到現(xiàn)在還不能說完全解決漏洞問題。好在，到目前為止沒有一個(gè)實(shí)際被攻破的案例，各家公司都表示未發(fā)現(xiàn)利用上述漏洞發(fā)動(dòng)攻擊的證據(jù)。

　　AI商業(yè)認(rèn)為，這次芯片漏洞事件堪比當(dāng)年的“千年蟲”問題，已成為“一損俱損”的全行業(yè)事件，需要整個(gè)產(chǎn)業(yè)鏈的密切配合、共同解決。解決得好，大家都化險(xiǎn)為夷，而萬一出現(xiàn)安全攻擊事件，損害的不僅是英特爾或哪一家廠商，而是整個(gè)產(chǎn)業(yè)。

　　這不僅讓人回想起當(dāng)年整個(gè)產(chǎn)業(yè)“集體”應(yīng)對(duì)“千年蟲”問題時(shí)的場(chǎng)景。“千年蟲”算是一種程序處理日期上的bug。由于其中的年份只使用兩位十進(jìn)制數(shù)來表示，因此當(dāng)系統(tǒng)進(jìn)行跨世紀(jì)的日期處理運(yùn)算時(shí)，就會(huì)出現(xiàn)錯(cuò)誤的結(jié)果，進(jìn)而引發(fā)各種各樣的系統(tǒng)功能紊亂甚至崩潰。

　　20世紀(jì)90年代末，“千年蟲”問題是許多專家廣泛討論的話題，它可能引發(fā)飛機(jī)碰撞、輪船偏離航向、證券交易所崩盤等問題，一旦出錯(cuò)后果不堪設(shè)想。

　　而“千年蟲”問題之所以基本平穩(wěn)地度過，與政府和整個(gè)產(chǎn)業(yè)的重視和大力修復(fù)分不開，當(dāng)然也離不開媒體鋪天蓋地的宣傳。就算這樣，也有少數(shù)落后國(guó)家不夠重視或者資金技術(shù)不足，導(dǎo)致“千年蟲”發(fā)作，一些政府機(jī)構(gòu)和電力系統(tǒng)運(yùn)行癱瘓。

　　所以，AI商業(yè)認(rèn)為，相關(guān)廠商、用戶和政府部門都應(yīng)該拿出當(dāng)年應(yīng)對(duì)“千年蟲”問題的態(tài)度來積極應(yīng)對(duì)，防患于未然。一要密切跟蹤該漏洞的最新情況，及時(shí)評(píng)估漏洞的影響。二要對(duì)芯片廠商、操作系統(tǒng)廠商和安全廠商等發(fā)布的補(bǔ)丁及時(shí)跟蹤測(cè)試，制定修復(fù)工作計(jì)劃，及時(shí)更新安裝。

　　我們相信，只要齊心協(xié)力，積極應(yīng)對(duì)，芯片漏洞問題最終也將是“虛驚一場(chǎng)”。

　　李云杰

關(guān)注讀覽天下微信， 100萬篇深度好文， 等你來看……