昨天,外媒爆出消息称,英特尔芯片存在巨大漏洞,并且波及1995年之后的大多数PC设备。

安全研究人员在英特尔芯片中发现两个关键漏洞,利用漏洞,攻击者可以从应用程序中窃取你的数据,比如密码管理器、浏览器、E-mail、照片以及文档中的数据

更可怕的是,过去十年间所有使用英特尔芯片的电脑都将受到影响。

图片来自网络

我不禁摸了摸自己的电脑,心想:幸好前不久才重做了系统,没来得及塞乱七八糟的东西进去。不过,之前的信息会不会已经被看光光了?

英特尔的芯片怎么了

科技网站The Register 报告称,过去10年中的英特尔处理器存在严重的芯片级安全漏洞,而且修复难度极大。

研究人员说,1995年之后的每一个系统几乎都会受到漏洞的影响,包括计算机和手机。他们将两个漏洞叫作“Meltdown”(熔毁)和“Spectre”(幽灵)

这俩漏洞到有啥危害呢?

简单来说,核心内存(操作系统的核心)与用户之间有一个隔离区,你可以粗暴地将其理解为护城河。这条河可以将城里的核心和城外瞎捣鼓的我们隔开,但是,新发现的两个漏洞却可以把河毁了,城外的人就可以大摇大摆地进城了。

图片来自网络

具体来说,Meltdown赋予攻击者一种“特权”,设备一旦被感染,攻击者就可以越过安全边界,不只可以进入核心内存,还可以访问内存中的一切数据,比如敏感文件和数据,而这些安全边界往往是由硬件把控的。

Spectre则可以欺骗App,窃取App中的机密信息

其他不用多说,光看到“访问数据”“窃取机密”这两个词,普通吃瓜群众就能理解这漏洞危害有多大了!

英特尔公司的芯片存在漏洞,不免引发公众对该公司产品和品牌的担忧,最直接的表现就是股价!3日开市英特尔股价前下跌2%,而股市开盘后,英特尔以45.47美元低开,对应跌幅为2.88%。

图片来自纳斯达克

而这时,有一支股票的价格则升了不少。对,就是英特尔的老对头AMD。开市前AMD股票大涨7%,开盘后,则以11.61美元的价格高开,对应涨幅为5.64%。

图片来自纳斯达克

漏洞的影响到了谁

坐在我隔壁的小伙伴也听说了这个消息,不过她表示自己并不担心,因为她用的是苹果电脑,macOS!

然而,少女,你图样图森破啊!别以为中招的只有微软Windows好嘛,苹果macOS、Linux操作系统都会受这个漏洞的影响的!这迫使Windows、Linux内核需要进行大规模重新设计,以解决芯片级安全漏洞。此处心疼程序员们3秒。

图片来自网络

个人电脑能偷窥的毕竟有限,要是大公司一些服务也受影响岂不是很糟糕!那可是成千上万的资料咧……

嗯,确实很糟糕,更糟糕的是,真的有好几家大公司受影响了!包括亚马逊、微软和谷歌在内的云计算服务

所以程序员小哥哥小姐姐又得加班加点,给云服务“打补丁”,按计划中断服务,防止攻击者窃取数据,毕竟攻击者可能会在相同的共享云服务器上窃取其它数据。继续心疼程序员们3秒。

图片来自网络

用A平台的小伙伴可以稍稍松口气,因为AMD说,他们家的东西和英特尔家的不一样:“微处理器公司不同,架构不同,给平台造成的威胁也不同,平台的反应也会不同。我们深信,就目前来说AMD处理器的风险几乎为零。”

图片来自网络

另一家公司ARM回应媒体时,还是说了他们家一些处理器会受到影响,比如Cortex-A处理器

大家也别太担心,据最新消息,程序员们正在吭哧吭哧地检修Linux开源内核的虚拟存储系统。与此同时,微软公司预计将在接下来发布的补丁中对Windows系统作出必要调整。这些调整已经在去年11月和12月推送给了Windows Insider内部测试者。

亚马逊也对外宣布,旗下云服务中的弹性计算云系统(EC2)已修补了相关漏洞,剩余的部分将在几小时内被修复,并提醒广大用户需要为操作系统打补丁。

也有业内人士表示,苹果系统尚不会受到影响,他们早在去年12月的macOS 10.13.2中就已经从一定程度上解决了这个问题。

听起来好像修复成功就没事,慢着,更麻烦的在后面呢。

该漏洞可以被修复, 但是补丁可能导致PC和Mac出现性能下降,下降幅度在5%到30%之间,目前尚不清楚具体的下降程度。

说到这个,我感到一阵崩溃,本来电脑就烂了,时不时卡一卡,性能再下降,还能用吗?!

图片来自网络

不过为了安全起见,该打的补丁还是乖乖打上吧。

英特尔说这不是我一个人的锅

英特尔公司股票都跌那么多了,怎么还可能坐得住呢。于是,他们发了一份《英特尔关于安全研究结果的回应》的声明,总结来说共三点:

●英特尔认为这两个漏洞并不会损坏、修改或删除数据

●这些漏洞不是英特尔独有,其他供应商的处理器和操作系统都有,比如“AMD、ARM控股和多个操作系统供应商”;

●前面提到的漏洞会影响不少电脑、服务器和云操作系统,也可能影响手机和其他设备。但对于大多数用户来说,性能影响应该不太大

图片来自网络

全文如下:

英特尔和其他技术公司对媒体报道的安全研究的信息已经了解,这一研究描述了软件分析方法,当用于恶意目的时,有可能不正确地收集来自运行设计的计算设备的敏感数据。英特尔相信,这些漏洞不会被利用破坏,修改或删除数据。

最近有报道称,这些破坏是由“漏洞”或“缺陷”引起的,对于英特尔产品来说是独有的,这是不正确的。基于迄今为止的分析,许多类型的计算设备(具有许多不同的供应商的处理器和操作系统)都会容易受到这些攻击。

英特尔致力于产品和客户安全的保障,并正与包括AMD,ARM Holdings和多家操作系统供应商在内的许多其他技术公司紧密合作,制定行业范围内的方法,并及时和有建设性地解决此问题。英特尔已经开始提供软件和固件更新以抵御这些漏洞。与一些报告相反,任何性能的影响都取决于工作负载,对于普通计算机用户来说,影响并不是显著,并且会随着时间的推移而被缓解。

英特尔致力于采取行业最佳做法,负责任地披露潜在的安全问题,这就是为什么英特尔和其他供应商计划在下周公布更多软件和固件更新的原因。不过,由于目前媒体报道不准确,英特尔今天发表这个声明。

请与您的操作系统供应商或系统制造商联系,并尽快应用所有可用的更新。遵循良好的安全措施来防止恶意软件的攻击,也将有助于应用更新之前防止可能的被利用。

英特尔相信其产品是世界上最安全的,并在合作伙伴的支持下,目前的解决方案可以为客户提供最好的安全保障。

图片来自网络

可是AMD不是说他家的和英特尔不一样吗?这场“漏洞风波”究竟会如何收尾?

我们这些吃瓜群众还是老老实实更新补丁去吧!