相关专题:
近日,外媒 The Rigister 报道,安全研究人员发现,英特尔处理器底层设计上存在重大漏洞,研究人员将他们称作“Meltdown(熔断) ”和“Spectre(幽灵)”,当这些软件分析方法被用于恶意目的时,有可能会有从许多搭载不同厂商的处理器和操作系统的多种类型的计算设备中收集敏感数据的潜在风险。意味着 Linux 和 Windows 的内核需要被大幅度重新设计,以解决这次的芯片级安全漏洞。
最近的报道还称,这些破坏是由“漏洞”或“缺陷”造成的,并且是英特尔产品所独有的。事实上,这种说法有失偏颇,其它供应商的处理器和操作系统也会有这个问题。英特尔在声明中表示,根据迄今的分析,许多类型的计算设备(有来自许多不同供应商的处理器和操作系统)都会容易受到类似攻击。虽然AMD发表声明否认,但实际上AMD也会受到影响。
据了解,英特尔与业内其他合作伙伴正共同携手防御本周三通报的潜在攻击隐患,业界也展开了广泛的测试,以评估近期发布的安全更新对系统性能的影响。苹果、亚马逊、谷歌和微软都已评估并表示,该安全更新对性能影响很小甚至没有影响。
具体测试结果包括:
苹果:“我们的GeekBench 4基准测试以及Speedometer、JetStream和ARES-6等常见的Web浏览基准测试表明,2017年12月的更新没有显著降低macOS和iOS设备的性能。”
微软:“绝大多数Azure客户不会感受到此次更新对性能的影响。我们已经优化了CPU和磁盘I/O路径,在采纳更新后没有看到对性能产生明显的影响。”
亚马逊:“我们没有观察到这对绝大多数EC2工作负载的性能有产生实际的影响。”
谷歌:“在包括云基础设施在内的大多数工作负载上,我们看到对性能的影响可以忽略不计。”
360 官方也表示,虽然漏洞影响范围极广,但漏洞本身的危害却并不十分严重,此前也没有任何已知的利用这些漏洞进行攻击的案例被发现。攻击者虽可利用该漏洞窃取隐私,但无法控制电脑、提升权限或者突破虚拟化系统的隔离。
据悉,英特尔已经为基于英特尔芯片的各种计算机系统(包括个人电脑和服务器)开发了更新,并且正在快速发布这些更新,以保护这些系统免受谷歌Project Zero所报告的两种潜在攻击隐患(被称为Spectre和Meltdown)。英特尔与其产业伙伴在部署软件补丁和固件更新方面已取得重要进展。另外,虽然大多数普通 PC 用户不会因此受到影响,但这批补丁会带来 0% 到 30% 之间的性能降级。
英特尔在声明中表示,英特尔已经针对过去5年中推出的大多数处理器产品发布了更新。到下周末,英特尔发布的更新预计将覆盖过去5年内推出的90%以上的处理器产品。此外,许多操作系统供应商、公共云服务提供商、设备制造商和其他厂商也表示,他们正在或已对其产品和服务提供更新。
英特尔指出,这些更新对不同工作负载的性能影响会有不同。对于一般的计算机用户来说,影响并不显著,而且会随着时间的推移而减轻。虽然对于某些特定的工作负载,软件更新对性能的影响可能一开始相对较高,但随着采取进一步后续的优化工作,包括更新部署后的识别、测试和软件更新改进,应该可以减轻这种影响。
这些系统更新程序可通过系统制造商、操作系统提供商和其他相关厂商获得。
