全球的电脑都跪了! 英特尔CPU爆惊天漏洞, 苹果微软都遭殃....
每天,在世界各地,有无数人的一天在电脑屏幕前开启。不过,无论你用的是联想,戴尔,惠普还是苹果,是 Windows 还是 macOS 系统,你都要和同一家公司打交道:英特尔。
英特尔的大名无需多说了,即便是对 IT 不甚了解的小伙伴也肯定对电视广告上那个著名的“等灯等灯”音乐耳熟能详。
全世界绝大部分电脑的中央处理器(CPU)都是英特尔制造。2010年,英特尔在个人电脑上的占有率达到80.7%,远远超过第二名 AMD 的19%。在服务器市场,英特尔更是有着高达93.5%的占有率。
可以说,全球互联网及其相连接的各种电子设备,就是在英特尔之上建立的。
然而这样一个 IT 巨轮,最近居然触礁了。
1月2日,国外科技媒体 The Register 爆出重磅新闻:英特尔的部分处理器存在“根本性设计缺陷”,会导致存储密码等敏感重要信息的存储区被软件获取,换言之,用户的隐私信息极有可能因为这个漏洞泄露。
随后的消息则更加惊悚:此漏洞为 CPU 设计方面的缺陷,涵盖目前市面上全部英特尔处理器产品,也就是说,只要你现在用的是标有 intel 标志的笔记本或台式机,不管是哪个牌子也无论哪个操作系统,这个漏洞你都遇上了……
设计失误,全球电脑中招
英特尔产品有漏洞并不鲜见,在过去几年,也陆续有各种安全方面的缺陷被媒体报道,英特尔事后也做了一一修补和更正。
然而,此次漏洞与以往都有所不同,无论是波及范围,严重程度和可能后果方面,都堪称是英特尔,甚至可能是计算机史上最大的安全漏洞事件之一。
根据 Google Zero 团队发布的报告,此次被曝光的漏洞共有两种,分别叫做“熔毁(Meltdown)”和“幽灵(Spectre)”
其中,“熔毁”漏洞在所有1995年之后生产的英特尔芯片上都存在,换言之,这一问题可能已经存在长达20余年而没有被发现。
“熔毁”漏洞允许软件无视权限许可,直接访问内核内存(kernel memory)中存储的用户数据——其中大部分为本不该被访问的用户隐私信息,例如密码,安全密钥,被加密的图片,文件等等。
英特尔内核页面表漏洞
打个不太准确但便于理解的比喻就是,好比电脑就是你的豪宅,各种程序就是你请来的各种钟点工,维修工,厨师和快递小哥,你会让他们进入你的院子,厨房,卧室工作,但只有有足够权限的人才能接触到你家的保险柜——例如管家在需要的时候打开保险柜,帮你拿个房产证什么的。
而这个漏洞相当于,你家的保险柜上有个窟窿,任何人只要能进你家门,就能拿到保险柜里的所有东西。
更麻烦的是,此漏洞发生在底层系统层面,普通安全防护软件很难在应用程序中检测到攻击。小偷(病毒)完全可以伪装成家政人员(普通程序)进去偷走你的东西,神不知鬼不觉。
此漏洞目前只在英特尔产品上发现,如果你的笔记本上贴着 AMD 的红色 logo,那恭喜你,你暂时没有问题——暂时。因为还有这个叫做“幽灵”的漏洞。
“幽灵”漏洞在“熔毁”之后被发现,这一漏洞干脆涵盖了市面上目前几乎全部的 CPU 产品——英特尔,AMD 和 ARM 全部中枪,无一幸免。这一漏洞可以让黑客伪装恶意程序,欺骗系统检测,最终击破各个程序之间的间隔发动攻击。
不过,此漏洞的利用成本过于高昂,开发和运营相关病毒的难度都很大,一般不会拿来攻击个人电脑用户。所以媒体现在普遍更关注“熔毁”漏洞的情况。
目前好消息是,“熔毁”漏洞可以被修复,很多厂商已经或正在开发修复补丁。坏消息则是,修补这一漏洞很可能将以牺牲电脑性能为代价。
由于“熔毁”漏洞属于硬件级别的设计失误,简单的修补根本填不上窟窿。根本性的解决方案,要么全部电脑返厂维修,要么全部更换新的 CPU——哪一个都是英特尔不能接受的。
于是技术人员采用了一种被称作“凯撒(Kaiser)”的修补机制:更新补丁之后,应用程序将无法直接访问内核,只有在必要的时候才能调取。这就像是保险柜上的洞填不上的话,索性禁止所有人进那个放保险柜的房间,需要拿什么东西再进去。
这种“壮士断腕”一样的做法的直接后果就是 CPU 的运算速度有明显的下降:多个数码媒体和测评机构都记录到了从5%到35%不等的性能下降。最严重的情况下等于电脑直接倒退一代(类似你买了个 iPhone7 却只有 iPhone6s 的速度一样)。
但比起数据随时可能外泄的风险,这也算是没有办法的办法了……
消息传出后,英特尔一度股价下跌6%,创造了自2016年10月以来盘中股价的最大跌幅。
历史上的类似案例
面对媒体和 IT 工作者的疑问,英特尔发表了一份公开声明。
在声明中,英特尔宣称“这些漏洞不会破坏、修改或删除数据”,媒体的报道“不够准确”,而且暗示“其他供应商”也会受到影响。此外,他们也驳斥了部分媒体关于“漏洞修补后系统运行速度变慢”的说法。称在不同任务下会有不同表现,不可一概而论。
这样的表态显然不能服众。用户更想知道的是关于漏洞的具体细节和可能的威胁,以及善后工作究竟该怎么处理。这些信息英特尔都没有提到。
此外,也有网友半开玩笑地暗讽英特尔“在试图转移视线。”
英特尔应该比谁都清楚,就算此次漏洞真的如他所言“危害不大”,处理不好依然有可能酿成一起公关灾难——早在1994年,他们就经历过类似的危机了。
1994年6月,英特尔发布了备受关注的第一代奔腾处理器,很多电脑纷纷配置。当年10月,美国弗吉尼亚州林奇堡学院(Lynchburg College)数学系教授 Thomas Nicely 用电脑计算一些长除法时,发现得到的答案一直不对。
Nicely 教授用了3个月时间,在不同的电脑上进行同样的计算,最终发现只有搭载奔腾处理器的电脑才会有类似问题,Nicely 据此怀疑奔腾 CPU 有系统级缺陷。
面对 Nicely 的质疑,英特尔工作人员各种推脱否认。生气的教授把自己的遭遇发邮件给自己的朋友,收到的亲友又转发给其他人。在社交网络出现之前,这封邮件如同病毒一般在用户之间广泛转发。由于 Nicely 教授遇到的错误只要打开计算器程序就能复现,导致这一 bug 越来越广为人知。
到11月1日,包括微软在内的很多科技公司都已经知晓此事,电视也开始报道,很多本来想买电脑的人开始持币观望,大量用户给英特尔客服部打电话想知道究竟有多严重。
英特尔一直到11月15日才发表了一份书面声明,表示问题“可以忽略不计”,普通用户无需担忧。这直接激怒了消费者——你家 CPU 连算个数都算不对,你还告诉我不用担心?!
11月14日,感恩节,奔腾处理器的漏洞问题登上各大媒体头条;12月12日,IBM发布声明,全面停止使用奔腾 CPU,英特尔收到大量奔腾用户的退货单,《财富》杂志报道称英特尔“被普遍仇恨与畏惧”。
迫于压力,英特尔最终于12月20日发表道歉声明,并召回所有问题处理器。事后统计,此次危机英特尔共付出超过5亿美元成本,公司形象和声誉方面的损失则无法估量。
此即为历史上著名的“Pentium FDIV bug(奔腾浮点计算错误)”。
事实上,奔腾处理器的问题从技术层面上来看确实称不上多严重:它的发生原因是英特尔为了加速运算,将乘法表直接烧录进 CPU,但2048个乘法数字中有5个输入错误,才导致在进行大计算时会有偏差。
在奔腾上市前,英特尔技术人员就发现了问题,但由于这一问题在90亿次计算中才会出现一次错误,技术主管认为“问题不大”,没放在心上,却没成想,在一个数学教授手里栽了。
对普通人的影响
说了这么多,小伙伴可能更关心的是,这次漏洞对我们普通用户到底有多大的影响,我们又该怎么应对呢?
影响方面,目前还不好回答——毕竟目前还没有黑客利用上述漏洞的消息。但显然,安全肯定是不怕一万就怕万一,因此主页君强烈建议各位小伙伴,无论用什么操作系统,马上更新一下自己的操作系统的最新补丁。英特尔官方也在通告中建议用户及时更新。
事实上,这个漏洞在去年就已经有发现,一些厂商也提前进行了准备。苹果已经在17年12月6日的 macOS 更新中打上了相关补丁,用 MacBook 的小伙伴,只要升级到最新系统,基本就算安全了。
至于 Windows,微软在美国时间周四前后(今明两天)应该就会推送最新的 Windows 10 补丁,用普通笔记本和台式机的同学也要打开自己电脑的 Windows update。
关于更新后系统变慢的说法,尽管 CPU 确实会有一定程度的性能降低,但对绝大部分用户来说还是影响不大的。性能下降只有在用 matlab 等数学软件进行高性能计算,或压制4K 等高清视频时才可能有一点感觉。
如果你的电脑只是用来写论文,看视频,上网,做课件,玩吃鸡 lol,或者剪辑视频修照片,那么大可以放心更新。已经有网友第一时间更新了微软补丁后跑了一遍测试软件,并没有发现明显的分数下降。
不过对于企业级英特尔用户,尤其是云服务商来说,这5%的下降就很要命了。此外,更新补丁还会造成 I/O (内外存数据交换速度,相当于你拷贝文件的速度)性能的下降。对于一些提供文件存储服务的云盘运营商来说也会有影响。从这个意义上讲,他们的运营成本在未来几个月可能会上涨,不知道这部分损失,他们是打算向英特尔索赔,还是打算转嫁给消费者……
总之,此事目前还在发展中,后续处理可能需要几个月时间,漏洞的具体细节也没有公布。希望英特尔和其他互联网厂商可以妥善处理此事吧。
