每天身边都有很多新鲜事发生,实时热点,最热门话题。我们应该多充电,掌握更多的知识,让自己见多识广。目前,互联网、技术和数字与我们的生活密切相关。在这个小系列里,我整理了一些关于这个的资料,分享给大家。
今年新年刚过,几乎席卷整个IT行业的芯片漏洞就爆发了,让人刚放松下来就紧张。
据国内外媒体披露,事件来龙去脉如下:
2017年,谷歌的ProjectZero团队发现了一些由CPU投机性执行、“幽灵”(变体1和变体2: CVE-2017-5753和CVE-2017-5715)和“熔毁”(变体3: CVE-2017-5754)引起的芯片级漏洞,这些漏洞
2017年6月1日,Project Zero安全团队的一名成员向英特尔等芯片厂商通报了这些漏洞,但直到2018年1月2日,技术媒体《The Register》才发表文章,揭露上述CPU漏洞,使芯片安全漏洞浮出水面,导致英特尔陷入突发危机,导致股价下跌。
芯片安全漏洞爆发后,引起了媒体和业界的广泛关注:在CPU上占有绝对市场份额的英特尔被抛入舆论漩涡,也引起了人们对安全问题的关注。人们不禁要问,芯片漏洞的问题已经被发现了,为什么只公布了?英特尔是否有意隐瞒?
推迟宣布为准备应对计划赢得了时间
据媒体披露的信息,1995年以来大部分量产的处理器都可能受到上述漏洞的影响,涉及到的大多是通用操作系统。
虽然主处理器是英特尔,但ARM、高通、AMD等主流处理器芯片大多也受到漏洞的影响,带有IBM POWER细节的处理器也受到影响。Windows、Linux、macOS、Android等主流操作系统,以及使用这些芯片的电脑、平板、手机、云服务器等终端设备都受到上述漏洞的影响。
应该说这是一次跨越厂商、边界、架构、操作系统的重大漏洞事件,几乎席卷了整个IT行业。
根据《华尔街日报》报告,在Project Zero安全团队于2017年6月1日向英特尔等芯片厂商通报漏洞情况后,英特尔一直在与苹果、谷歌、亚马逊、微软等其他主流芯片厂商、客户和合作伙伴共同努力解决这个问题。一个由大型技术公司组成的联盟正在合作研究和准备解决方案。
据消息人士称,该联盟成员达成了保密协议,推迟了披露,研究和开发了解决方案,并确保他们在公布漏洞后“准备就绪”。据消息人士透露,原本计划在1月9日公开,但由于技术媒体The Registe在1月2日曝光了芯片漏洞,英特尔等公司提前发布了相关公告。
1月3日,芯片漏洞暴露后的第二天,英特尔公布了最新的安全研究结果和英特尔产品描述,并公布了受影响的处理器产品列表。
1月4日,英特尔宣布与行业合作伙伴在部署软件补丁和固件更新方面取得了重大进展。英特尔发布了过去五年推出的大多数处理器产品的更新。到本周结束时,发布的更新预计将涵盖过去五年推出的90%以上的处理器产品。
随后,微软、谷歌等大型科技公司相继发布针对漏洞的解决方案,称正在更新产品和服务。
微软发布安全更新,保护使用英特尔和其他公司芯片的用户设备;苹果确认所有Mac系统和iOS设备都受此漏洞影响,但防御补丁已经发布;谷歌表示,已经更新了大部分系统和产品,并增加了抵御攻击的保护措施;高通表示,正在为受最近暴露的芯片级安全漏洞影响的产品开发安全更新。
一些网络安全专家认为,虽然该漏洞的影响范围很广,普通用户不必过于恐慌,但受影响的主要是云服务提供商。大多数云服务提供商也宣布了他们的解决方案和时间表。
阿里巴巴云:虚拟化底层将于1月12日凌晨1点热升级更新。
腾讯云:硬件平台和虚拟化平台将于1月10日凌晨01:00-05:00进行热升级技术修复,腾讯云安全团队将通知少量不支持热升级的服务器。
百度云:将在虚拟机和物理机两个层面进行修复,2018年1月12日00: 00通过热修复进行升级。
华为云:漏洞正在分析,主流操作系统发布的补丁正在跟进。
AWS:新服务器默认有补丁。
AI Business认为,幸好不是一发现漏洞就公布,否则在没有应对方案的情况下就会公布,会造成更大的安全隐患或恐慌。但英特尔、微软等各大厂商都做了充分的准备,陆续发布了补丁和更新。
芯片漏洞堪比“千年虫”,每个人都需要“团结一致”
在整个我
T发展史上,随着技术发展所暴露出来的计算机软件或设计漏洞可以说是一种难以避免的现象。因为,技术在发展,黑客技术也在不断发展,多年前没发现存在漏洞,多年后就可能发现存在漏洞。"你信或不信,漏洞可能就在那里,只是还没人能够发现"。而一旦漏洞被发现,只有积极应对解决,才能避免损失,防患于未然。
芯片是整个信息系统的"心脏"和核心。解决这样芯片级的、前所未有的,涉及面极广的、高危级别的重大安全漏洞,难度系数可想而知!
这已不是芯片领头厂商英特尔一家可以解决的,也不只是英特尔、ARM、AMD等芯片厂商应该积极应对的问题。而且,根据英特尔、微软等厂商公布的信息看,到现在还不能说完全解决漏洞问题。好在,到目前为止没有一个实际被攻破的案例,各家公司都表示未发现利用上述漏洞发动攻击的证据。
AI商业认为,这次芯片漏洞事件堪比当年的"千年虫"问题,已成为"一损俱损"的全行业事件,需要整个产业链的密切配合、共同解决。解决得好,大家都化险为夷,而万一出现安全攻击事件,损害的不仅是英特尔或哪一家厂商,而是整个产业。
这不仅让人回想起当年整个产业"集体"应对"千年虫"问题时的场景。
"千年虫"算是一种程序处理日期上的bug。由于其中的年份只使用两位十进制数来表示,因此当系统进行跨世纪的日期处理运算时,就会出现错误的结果,进而引发各种各样的系统功能紊乱甚至崩溃。
90年代末,千年虫问题是许多专家广泛讨论的话题,它可能引发飞机碰撞、轮船偏离航向、证券交易所崩盘等问题,一旦出错后果不堪设想。
而千年虫问题之所以基本平稳地度过,与政府和整个产业的重视和大力修复分不开的,当然也离不来媒体铺天盖地的宣传。就算这样,也有少数落后国家不够重视或者资金技术不足,导致千年虫发作,一些政府机构和电力系统运行瘫痪。
所以,AI商业认为,相关厂商、用户和政府部门都应该拿出当年应对"千年虫"问题的态度来积极应对,防患于未然。
一要密切跟踪该漏洞的最新情况,及时评估漏洞的影响。二要对芯片厂商、操作系统厂商和安全厂商等发布的补丁及时跟踪测试,制定修复工作计划,及时更新安装。
我们相信,只要齐心协力,积极应对,芯片漏洞问题最终也将是"虚惊一场"。(作者:李云杰,微信公号:AI商业 )
版权声明:内容来源于互联网和用户投稿 如有侵权请联系删除