首页 > 赛迪观察 > 正文

CPU漏洞事件考验业界智慧

来源:中国电子报  作者:李佳师  投稿时间:2018-01-12

  1月4日,国家信息安全漏洞共享平台(CNVD)发布安全公告,公告称CPU存在Meltdown(熔断)漏洞以及Spectre (幽灵)漏洞,该漏洞存在于英特尔x86-64的硬件中,1995年以后生产的Intel处理器芯片都可能受到影响。同时AMD、Qualcomm、ARM处理器以及使用上述处理器芯片的操作系统和云计算平台也将受此漏洞影响。这几乎影响到了包括笔记本电脑、台式机、智能手机、平板电脑和互联网服务器在内的所有硬件设备。
 

  有专家称,此CPU漏洞事件堪称计算机史上最大安全事件,波及面之广、中枪厂商之多、影响之大,史无前例。“熔断”能够直接洞穿Intel和微软Windows、Linux、苹果Mac OS共同设下的重重安全防护,“幽灵”能悄无声息地穿透操作系统内核的自我保护,从用户运行的空间里读取到操作系统内核空间的数据,在Intel/AMD/ARM这三大主流公司的CPU上都能起作用。因为漏洞难以通过软件补丁修复也无法通过反病毒软件对抗,加上这十几年CPU出货量之大,涉及设备之多,所以忧患阴霾几乎笼罩了所有的IT设备和整个IT业界。
 

  英特尔在事件中被推到了风口浪尖上,原因是2017年6月,谷歌安全团队发现了这一漏洞,告知了英特尔等芯片生产商,但后者没有向业界公布,直到2018年1月2日,科技媒体The Register发表文章报道了这一问题。1月3日,英特尔最终公布处理器产品清单。于是所有矛头指向英特尔,认为其知情不报。
 

  有消息人士透露,因英特尔联盟成员之间达成了保密协议,延迟公开,赢得时间研发解决方案,确保公布漏洞后能够万无一失。原计划为1月9日公布,The Register的踢爆,让英特尔只好提前进行了系列公告。
 

  2018年1月4日,英特尔公告称:“英特尔已经针对过去5年中推出的大多数处理器产品发布了更新。到下周末,英特尔发布的更新预计将覆盖过去 5 年内推出的 90% 以上的处理器产品。”
 

  其后,各路芯片厂商纷纷发声表示正在修复,苹果、微软、阿里云、腾讯云、百度云、华为云等厂商陆续发布修补漏洞办法。有评论认为,对于CPU漏洞,业界各厂商没有事先公布,这也说明了技术创新与迭代的规则正在被某种力量打破,这也暴露出一个更大的行业问题,是不是硅谷的创新精神正在走向没落?
 

  目前,这一事件还在发酵。业界和消费者将如何应对?
 

  笔者认为,其一,从目前来看,该事件应该说是一个现代计算芯片体系问题,需要全产业链携手解决。眼下,还没有黑客们从这两个漏洞中“得手”,利用漏洞作案仍有很高的门槛,但是毕竟漏洞已经暴露出来,各厂商应该联合起来,找到更好的修补方案。目前看有一些修补方案存在影响性能以及兼容性等问题,1月8日举行的CES上透露,这些安全更新,预计会令某些工作负载下的性能受到一些影响,英特尔会继续与业界一起协作,逐步把这些影响降到最低。
 

  其二,厂商们应该吸取教训,用户和业界需要知情权,业界需要更开放。英特尔在此事件上的被动局面,看似偶然,其实也暴露了一个行业问题,在协同上下游及时解决问题的同时,究竟是选择合适的时间公布,还是一开始就让业界都知道,需要业界重新思考。在问题频发、道高一尺魔高一丈的今天,我们究竟应该采取核心成员携手解决问题的方式,还是以更开放的思路实现信息共享、更大范围群策群力,考验业界的智慧。
 

  其三,作为消费者,无论是PC还是手机以及云的用户都应到设备归属的CPU以及操作系统厂商官网及时下载补丁,进行更新,防患于未然。

共1页 |< 首页 < 上一页 1 下一页 > 尾页 >|

【上一篇】: CES开展:无人驾驶走向商业化爆发成定局    【下一篇】: 车载信息娱乐新品迭出 自动驾驶仍是热点

  中国电子信息产业发展研究院(赛迪集团)是直属于国家工业和信息化部的一类科研事业单位。成立二十多年来,一直致力于面向政府、面向企业、面向社会提供研究咨询、评测认证、媒体传播与技术研发等专业服务。形成了政府决策与软科学研究、传媒与网络服务、咨询与外包服务……[详细]

赛迪专家更多

打造工业互联网平台“双创”升级版

7月2日,在北京工业互联网创新发展论坛上,中国电子..

陆峰:新型互联网应用点亮智慧生活

互联网作为20世纪人类最伟大发明,已经深刻改变了人..

赛迪机构

咨询业 媒体业 评测业 信息技术服务业 会展培训业 其他(分支机构)