8个CPU新漏洞    信息产业敲响警钟

近日有媒体报道，研究人员找到8个CPU新漏洞，这些漏洞有哪些严重影响?如何修复弥补这些安全漏洞?一起来看具体报道!杂志还说，英特尔准备发布补丁，修复漏洞，ARM的一些芯片也受到影响，至于AMD芯片是否也存在同样...

法律法规网消息 近日有媒体报道，研究人员找到8个CPU新漏洞，这些漏洞有哪些严重影响?如何修复弥补这些安全漏洞?一起来看具体报道!

杂志还说，英特尔准备发布补丁，修复漏洞，ARM的一些芯片也受到影响，至于AMD芯片是否也存在同样的问题，研究人员正在调查。《c't》没有披露信息的来源，因为研究人员会优先通知相应公司，在公司找到修复补丁之后再公开自己的发现。

1月份，研究人员发现了Meltdown和Spectre漏洞，谷歌Project Zero就是最早发现的团队之一。这一次，其中一个漏洞也是Project Zero发现的，因为90天内禁止公开，所以在5月7日之前不能公布自己的发现。

英特尔代表拒绝对德国杂志描述的漏洞发表评论。在官网声明中，英特尔说它正在与客户、合作伙伴、其它芯片商、研究人员合作，一旦问题得到确认，会寻找办法缓和，整个过程牵涉到CVE编号保留块。声明称：“我们相信协作披露有着巨大的价值，在缓和的过程中，一旦发现任何潜在问题，我们会及时披露的。”

对于新发现的漏洞，《c't》杂志没有透露太多细节。当Spectre、Meltdown出现时，研究人员曾说过，可能会有更多相似的漏洞冒出来，需要用补丁修复。

硬件安全公司Eclypsium CEO、前英特尔安全研究员尤里·布里金(Yuriy Bulygin)说：“看看Metldown和Spectre造成的冲击，新漏洞可能会触动新一轮升级循环，时间漫长，过程痛苦，甚至可能牵涉到性能和稳定问题。给硬件打补丁是一件很棘手的事，希望在Metldown和Spectre的指引下，过程能变得更简单一些。”

布里金还说，在真实世界，还没有发现有黑客利用Spectre、Meltdown发起攻击，但是相似的攻击已经成为研究的热门新领域，一些心怀鬼胎的人可能已经开始研究新攻击手段。

英特尔“芯片门”再引思考，信息安全很重要

全球最大芯片厂商英特尔公司深陷“芯片门”丑闻，芯片漏洞问题持续发酵。美国媒体日前披露，英特尔芯片存在严重技术缺陷，导致的漏洞可能影响几乎所有电脑和移动设备用户的个人信息安全。目前，英特尔在美国面临至少3起来自消费者的集体诉讼，诉讼者均指控英特尔数月前就了解芯片存在漏洞，却未及时对外公布消息。此次“芯片门”事件再次给整个信息行业敲响安全警钟，在新一代信息革命对芯片运算速度提出更高要求的背景下，如何同时确保效率与安全成为一个关键挑战。

根据媒体报道，多所高校研究人员发现，黑客可利用英特尔芯片的漏洞读取设备内存，获得密码、密钥等敏感信息。

事实上，英特尔早在去年6月就已从谷歌获知该漏洞的存在。一般来说，信息行业企业滞后公布安全漏洞符合惯例，目的是为了在漏洞信息披露前找到修复手段，以防止黑客快速利用漏洞信息发动攻击。但此次英特尔在掌握漏洞后较长时间未发布信息，并最终导致相关信息被媒体曝光，属于较为罕见的情况。

而且此次芯片安全漏修复难度较大有关，广受关注。

业界也有分析认为，相关修复补丁将影响处理器的运算速度。美国国土安全部在一份声明中说，安全补丁是解决芯片漏洞最好的保护办法，但打补丁后电脑性能可能下降多达30%，并且芯片漏洞是由中央处理器架构而非软件引起，所以打补丁并不能彻底解决芯片漏洞。Linux系统开发人员表示，对芯片安全漏洞的修复将影响操作系统运行速度，典型的性能下降幅度为5%。

英特尔则否认类似说法，认为补丁对芯片影响会随时间减弱。英特尔公司在一份声明中称，这次被发现的缺陷并非仅存于英特尔的产品，采用许多不同供应商提供的处理器和操作系统的设备都很容易遭受类似攻击，希望与包括美国超威半导体公司、英国阿姆控股公司和多家操作系统供应商在内的许多其他科技公司密切合作，以开发一种全行业的方法，迅速而有建设性地解决这个漏洞。

此次英特尔“芯片门”事件再次给信息产业敲响安全警钟，尤其是如何平衡效率与安全，引发了诸多反思。

在发现此次芯片漏洞的研究人员看来，问题出在芯片制造商对效率的过度追求。目前包括英特尔在内的各主流芯片生产商都普遍采用了一种名为“推测性执行”的技术，以提高处理器的整体性能和效率。依靠该技术，处理器会预测它们可能需要为给定的进程运行哪些代码，并提前运行，以便结果在真正需要之前就准备就绪。有时，处理器可能会将数据从一个内存位置移动到另一个位置以供这些进程使用。执行期间，处理器会验证假设，如假设无效，将解除执行，但执行解除后可能会产生无法消除的副作用。这样的设计为黑客发动旁路攻击提供了可能。所谓旁路攻击，是指黑客利用计算机系统物理运行中一些可观察的方面，例如定时、功耗甚至声音等窃取信息。

在新信息革命呼之欲出的当下，整个IT业对芯片运算能力的需求是巨大的。物联网、无人驾驶、5G、人工智能、深度学习、云计算等新兴领域都对芯片的计算能力提出了更高要求。修补漏洞对芯片计算效率造成的影响也可能拖慢整个行业的发展。芯片制造商如何在效率与安全两个方面求得平衡，这个问题的紧迫性日益凸显。

闰业学院，专业从事IT管理咨询和IT运维、信息安全技术服务和人才培训等专项业务。为成为IT管理咨询及技术服务领域的专业品牌方向而努力。