晶片厂漏洞事件总整 最新升级苹果、微软、Goolge认证先救新机
▲intel目前已经携手国内外科技厂释出首波安全更新,intel 预计至下周末,最新更新预计解决过去5年内推出90%以上处理器产品的安全疑虑。(图/记者洪圣壹摄)
记者洪圣壹/综合报导
针对日前外媒踢爆的intel晶片重大安全漏洞,除了Microsoft、Linux、Apple 和 Google 都开始释出更新来解决问题外,intel 在证实这项消息之后不到 24 小时内,也针对各系统的电脑与伺服器发布一项更新,并已经获得 Apple、Microsoft、Amazon与Google等四家公司测试认同,证实不会因为更新而降低系统效能。
这绝对不是危言耸听,不过也不用太过焦虑,目前所有科技大厂都已经有初步对策。在前篇报导「Intel认了CPU安全漏洞问题...AMD、ARM等所有电脑都中招」当中,intel坦承晶片设计上有安全漏洞的疑虑,但否认这项漏洞会因为系统更新而降低效能,同时也表达正与AMD、ARM 控股和多家操作系统供应商在内的技术公司紧密合作,以即时和有效的解决这个问题,在这同时,intel 已经开始提供相对应的软体与韧体更新,借此降低这些漏洞的安全风险。而即使 AMD 声称自家设备安全无风险,并表示会释出安全更新,然而外媒认为AMD不可能、也该这么乐观,而且已经有测试报告指出,AMD 的产品确实可以因为这漏洞而被入侵。
这些声明都意味着,全世界的电脑都有这个重大安全漏洞的疑虑。而后续 Google Projet Zero 的报告进一步指出,这项安全漏洞主要有「Meltdown」和「Spectre」两个。Meltdown 是编号为 CVE-2017-5754 的漏洞,可让骇客以系统管理员的身份,存取电脑内的应用程式与作业系统所用到的某些记忆体,这方面主要是 intel 处理器的问题。
至于另一个 Spectre 是编号 CVE-2017-5753 与 CVE-2017-5715 两个漏洞的总称,可让骇客以系统权限获取处理器的电脑当中,核心记忆体内的资料,这包括个人密码、登入密码等等,即使 intel 强调这问题骇客并无法修改这些资料,然而这项漏洞却可以让骇客得以在使用者不知不觉当中,入侵个人电脑,作出更大的破坏,而这个安全漏洞问题就很大条,影响的公司还横跨 Intel、AMD及ARM三家公司所生产的系统晶片,换句话说,几乎全世界的电脑,都会有安全层级上的问题,这也是为什么这次的事件被视为重大安全层级上的问题。
▲Google Project Zero 团队率先发现「Meltdown」和「Spectre」两个安全漏洞,并在第一时间向 intel 发出警告。(图/记者洪圣壹摄)
除了电脑厂商该担心外,行动设备厂也出问题,由于ARM的Cortex-A晶片也有这方面的疑虑,而Cortex-A目前广泛应用于手机处理器平台,这包括高通、联发科、三星、华为生产的行动晶片,而这整起事件则是因为Apple公司的一项公开声明造成恐慌。Apple 公司向外媒回应,不只所有的 Mac 设备,iOS 设备已经受到“Meltdown”和“Spectre”安全漏洞的威胁。Google Project Zero 团队也在一份报告当中,明确说明 Android 设备也受到威胁。
对此,率先发出声明的 Microsoft、Linux 和 Google,依序宣布释出安全更新。微软除了针对 Surface 进行安全性更新,也已经于美国时间 2018 年 1 月 3 日在最新的 Windows 10 系统发布了「KB4056892」更新档,用户可直接透过系统设定的 Windows Update 下载。至于苹果mac OS 则已经在 2017 年 12 月释出 macOS 10.13.2 更新来修补安全漏洞。至于 Google 公司在最新声明当中,口径与 intel 一致,并已经针对YouTube、Google Ads、Chrome 等应用内容推出相对应的防范措施,同时针对 Android 推出安全修补更新。Mozilla 也推出了 Firefox 57 来解决相关漏洞。至于 Linux 系统方面,亦已经发放 KAISER 修正档案。
▲微软已于美国时间 2018 年 1 月 3 日在最新的 Windows 10 系统发布了「KB4056892」更新档。(图/记者洪圣壹摄)
不会再发生「晶片召回事件」
对此,intel CEO 科再奇(Brian Krzanich)接受外媒访问时指出,Meltdown 和 Spectre 比起 1994 年的 FDIV 容易解决,强调这两个安全问题并没有外界解读得这么严重,而且 intel 很早之前就已经跟合作厂商携手解决这项问题,并强调这次的事件,并强调不会对晶片进行召回的举动。
简而言之,这次发生的问题影响的层面包括 Windows、Linux、macOS、亚马逊AWS、Android 系统、iOS 系统跟 ChromeOS等所有装置,虽然各家厂商声称可在最新的系统更新之后获得解决。然而真的是安全无虑吗?其实并不然,外媒引述多项研究报告指称,新的作业系统更新将会影响到整个装置效能。
首波「不影响效能」的安全更新只抢救过去5年内「9成设备」
对此,intel 在 1 月 5 日的最新声明当中表示,已经针对过去 5 年当中的大多数处理器产品发布更新,借此避免 Google Project Zero所报告的 Spectre 和 Meltdown 两种漏洞,预计至下周末,intel 发布的更新预计将包含过去5年内推出90%以上的处理器产品。
intel 再次强调,这些更新对不同工作负载的性能影响也会不一样。对于一般的电脑使用者来说,影响并不显著,而且会随着时间的推移而减轻。虽然对于某些特定的工作负载,软体更新对性能的影响可能一开始相对高,但随着采取后续进一步的优化工作,包括更新部署后的识别、测试和软体更新改进,「应该」可以减轻这种影响,建议所有用户能够启用作业系统以及其他电脑软体的自动更新功能,以确保其系统是最新版本。
对此,包括Apple、Amazon、Google和微软都已评估并且报告结果,相关声明整理如下:
Apple:「我们的GeekBench 4效能基准测试(benchmark)以及Speedometer、JetStream和ARES-6等常见的Web浏览效能基准测试结果,2017年12月的更新没有显著降低macOS和iOS的效能。」
Microsoft:「绝大多数Azure客户不会感受到此次更新对效能的影响。我们已经将CPU和硬碟I/O路径最佳化,在更新后并未看到对效能产生明显的影响。」
Amazon:「我们并没有观察到这对绝大多数EC2工作负载的效能有产生实际的影响。」
Google:「在包括云基础架构(cloud infrastructure)在内的大多数工作负载上,我们看到对效能的影响可谓是微乎其微。」
不过这整起事件,最大的问题仍然是发生在 intel 于 1995 年到 2013 年推出的旧款处理器,也就是说市场上超过 5 成以上的老旧电脑,都有这样的危机,而微软这次发布的更新,也是针对 Windows 10 系统,针对 Windows 7、XP 等系统并未做出进一步的回应,也就是说这首波更新后,多数电脑仍有安全层级上的疑虑。
强烈建议用户进行更新
总而言之,如果你的设备是近期才刚购买,那么恭喜你,可能目前的最新安全更新可以帮助你避免骇客攻击,个人私密资料也可以被很安全的保护着。至于效能方面,intel 指出,这些更新对效能的影响,很大程度取决于具体的工作负载。对于一般的电脑使用者来说影响并不显著,并会随着时间的推移而减轻。